CGI版PHPのレンタルサーバーはサイトの改ざんに注意

5月頭に、CGI版PHPに脆弱性が発見され、各レンタルサーバーが対応に追われたのですが、セキュリティ対策を行う前に攻撃を受けてサイトが改ざんされてしまっている可能性があります。

私自身もサイトが改ざんされていた被害者で、その他の方の事例を見る限り可能性として高いのがCGI版PHPの脆弱性ではないかという状態です。

改ざんされたサイトの特徴をまとめる以下のようになります。

  • ロリポップが多いがロリポップ以外でも発生
  • WordPressサイトが多いがWordPressサイト以外でも発生
  • セキュリティ対策を行う前に改ざんにあいその後は被害が広がっていない

当初、WordPressのプラグインやテーマの脆弱性を突かれたのではないかという声が大きかったのですが、WordPressサイト以外にも発生していることで疑問符が付きました。

5/22にロリポップからこの件に関しメールが来たのですが、Web上での周知は行わないようですので、メールの内容を載せておきます。

5月初旬にPHPの脆弱性が確認されましたため、パッチの適用やバージョンアップを
実施いたしました。

■【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして
 http://lolipop.jp/info/news/3807/

■PHPセキュリティ対策メンテナンスのお知らせ
 http://lolipop.jp/info/mainte/3811/

上記のURLのページに記載の通り、サーバーでの対策は完了いたしておりますが
以下の内容のご確認をお願いいたします。

—————————————————————————————————-
1. サーバー上のファイルをチェックし、下記のようなファイルがないか確認する。
2. .htaccessファイルで以下の例のような箇所を一行そのまま削除してください。
—————————————————————————————————-

【改ざん例】
 ・index.bak.php といったファイルが設置されている

 ・「.htaccess」で以下のような記述が追記されている
  AddHandler application/x-httpd-php .png
  AddHandler application/x-httpd-php .gif
  など

—————————————————————————————————-

お手数おかけいたしますが、ご確認のほどよろしくお願い申し上げます。

CGI版PHPを使っているレンタルサーバーは、もっと積極的に周知した方が良いように思いますが、今のところ実害がないことと、被害がさほど大きくないことでこの程度になっているのでしょうか。ただ、表に出てきているのがこの程度なだけであって、潜在的には被害にあっているサイトが多いのではないでしょうか。

Webサイトの改ざん内容

被害状況としては、.htaccessの改ざんと共に以下の様なファイルが生成されています。

.htaccessには「AddHandler application/x-httpd-php .png」という記述がされており、index.bak.phpと共に、pngやgif、icoといったファイルが生成されます。ファイル名や拡張子は異なっていますが、これらは偽装されたphpファイルという説が濃厚です。

これらは、バックドアと呼ばれる不正侵入するための改ざんのようですが、実害を被ったという人はいないようです。実害が出ていないだけで実際にはバックドアを仕掛けられた事に気づいていない人が多いのかもしれません。この後、被害者が続出する可能性もありますので、必ずサーバーを確認しておきましょう。

サーバー上のファイルをチェック!

CGI版PHPを使っているレンタルサーバーが少ないことから今回被害を受けた人が少なかったとの意見もありますが、自分が使っているサーバーがCGI版PHPかどうかはわからない人が多いと思いますので、念のため自分のサーバーを確認しておいた方が良いと思います。

ルートディレクトリ(トップディレクトリ)にindex.bak.phpがあり、サブディレクトリの中に、pngやgifファイルが設置されているケースもありますので、できれば全てのディレクトリを確認しておいた方が良いでしょう。

WordPressサイトの場合、WordPressが格納されているディレクトリだけを見るのではなく、必ずルートディレクトリも確認してください。また、WordPressサイトでなくてもPHPを使用している場合、改ざんされている可能性があります。

現時点では、おそらく全てのレンタルサーバーが対応済みで、今後新たに改ざんされるようなことはないと思いますが、サーバー側がセキュリティを強化する前に改ざんされてしまっている場合、バックドアが開いたままの状態で放置していることになります。

管理人イチオシのレンタルサーバー

当サイトでも使っているエックスサーバーは、ディスク容量が200Gと大きく、MySQLが50個まで使えますので、1つの契約でいくつものサイトを運営することができます。

転送量が月2,000G、メモリ192Gと他の格安サーバーでは見られないスペックとなっており、アクセス数の多いサイトや複数のWordPressサイトを運営するのにも向いています。

自動バックアップと電話サポートが付いているので、初心者の方でも安心!

エックスサーバーの無料お試し申し込みはこちら

公開日:2012年5月24日

サブコンテンツ

このページの先頭へ