サクラの専用サーバをレンタルしているのですが、7/23に、見慣れないプロセスが4本起動しているのを発見(elflbl)
どうもバックドアを仕掛けられたみたい。==>ここまでで、だいぶ動揺しました。
即座に状況を保存して、プロセスをKILL、ファイルの書き換えがないか調査した。ファイルの書き換えは免れたようです。またウイルスもなく一安心です。パスワードファイルは、もって行かれてしまったようなので、パスワードを修正,DBのパスワードも修正しました。
また、起動されたと思われる,gcc,wgetは名前を変えて、囮のダミーを置いた。
さて、問題はどこから侵入されたか、もし分からない場合は、サイト停止しないといけません。このサーバには6サイトのwebが起動しており、ログも膨大です。
1.プロセスは、STIME 7/21に,起動されている。
2.プロセスオーナーは、apache
3.プロセス名は、elflbl
ということで、多分、ホームページから、クロスサイトスクリプティングにより攻撃を受けたと判断、でもどのプログラムか?
自分の作成したものは、クロスサイトスクリプティング、SQL インジェクションは対策しているので、それ以外となると、BLOGのMovable Typeが怪しいか?まず、apacheの7/21前後のerror.logを調査したところ、
sh: w_s3sb/: is a directory
–04:13:07– http://xxx/rootkits/xxxx.c
=> `/tmp/bd.c’
あれ、dip.picolix.jpのBBSに設置している、w_s3sbがやられたようです。前後を見たところ、cgiパラメータに”|”でつないで、任意のプログラムを実行しているようです。
攻撃元は、 xxx.xxx.ru ってロシア??
==>BBS即座に停止。
作者に連絡しようかと思い、ホームページを見たところ、「重要なお知らせ」が既に5/12に、ありました。
やれやれです。w_s3sbを使っているサイトは、結構あるので、気づいていないオーナーも今もってたくさんいるのではないでしょうか?「重要なお知らせ」にあるとおり相当危険な状態です。
w_s3sbの改修バージョンはあるのだろうか?
SMAIL/CrenaHtml2JPG