現在も事態は進行中のため詳細には触れられないが、取り急ぎサイトの全データを取得できたため、簡単に解析した結果について書いておく。同様の被害に遭われた方の復旧の参考になれば。(ただし、全ての改ざんされたサイトで同様の手口だったかどうかは定かでありません。下記ハッキングチームであれば似たような手法を採るものと思われますが、あくまで参考にとどめ、必ず詳細な解析を行ってください)
画像ならびにタイトル等に、Hacked By BoZKuRT という名称が見られ、かつ画像にはトルコ国旗があることから、トルコのハッキングチームによる可能性が高い。また、ログ解析結果を聞いたところによると、改ざんされたと思われる日時にトルコから複数のアクセスがあったとのこと。
以下全て、PivotX の管理画面より
・サイト管理?設定
サイト名
サイトホームページ
サイト名が Hacked By BoZKuRT に変更されていた。サイトホームページは、次に記載する改変されたページがテンプレートとして指定され、表示されるようになっていた。(トップページとして表示されるようになっていた)
・エントリとページ 画面の、先頭カテゴリのインデックスページ
該当ページのテンプレートが
pivotx/templates/index.html
(不正にアップロードされたファイル)
を呼ぶように改変されていた。
ページ内容自体に変更はなかったが、タイトルが Hacked By BoZKuRT に変更されていた。
pivotx/templates/index.html は以下の通り
[html]
<HTML><HEAD><TITLE>||| Hacked By BoZKuRT|||</TITLE>
<META http-equiv=Content-Type content="text/html; charset=utf-9">
<META content="MSHTML 6.00.6001.18294" name=GENERATOR></HEAD>
<BODY bgColor=#000000 onload=teclear();>
<embed src="http://www.fileden.com/files/2011/1/28/3068886/023_Hucum_Marsi.mp3" height="0"
type="audio/x-ms-wma"> </embed>
<center>
<img border="0" src="http://img.webme.com/pic/b/byarsslan/hackked.jpg" >
</center>
</body>
</html>
[/html]
!注意!
上記リンク先のファイルに、何らかのマルウェアがないとも限りません! アクセスする際には細心の注意を払ってください!!
以上の改変により、トップページにアクセスすると、上記 index.html の内容が表示されるようになっていた。
また、このほかに不正なファイル等が混入していないか確認してみたが、現時点では確認できていない。
海外では 2011/02/18、日本では 2011/02/21 に公表された、パスワードに関する脆弱性の可能性が高い。
理由として、スーパーユーザーと推測されるIDのパスワードが変更され、ログインできなくなっていた。かつ、推測されにくいスーパーユーザーのIDは問題なくログインできたことから、この脆弱性が最有力と思われる。
! この他にもXSSなどいくつかの脆弱性が存在しますので、PivotXユーザーの方は、至急 2.2.5 へのアップデートを検討してください !
・ PivotX 開発者による復旧手順等
http://forum.pivotx.net/viewtopic.php?f=2&t=1967
・ 改ざんの被害を受けたユーザーによる情報
http://forum.pivotx.net/viewtopic.php?f=2&t=1958
http://forum.pivotx.net/viewtopic.php?f=2&t=1949
・ パスワードリセットの方法
今回の攻撃は脆弱性の公表前に攻撃が行われる、いわゆるゼロデイ攻撃であり、セキュリティ情報に網を張っていても防ぐことは簡単ではないと考えられる。
しかしながら、それでも常に迅速なCMSのバージョンアップを行っていれば防ぐことができた可能性もあり(とはいえ、脆弱性対応がされた PivotX 2.2.4 公開後、攻撃を受けるまでの猶予は1週間もなく、かつ 2.2.4 公開のリリースは公式サイトで流されさえしなかったのだが)、迅速なパッチ当てが重要という、セキュリティの常道を守る大切さを身にしみて学習できた。
よく使われるIDの使用も考え直した方がいい。確かに役割が分かりやすいが、ブルートフォースアタック対策にもなるため、スーパーユーザーに類するアカウント名は推測されづらいものに変えようと思う。
そして、CMSの開発チームや開発元に対する精査も今後はより重要となっていくだろう。今回のように重要な脆弱性対応であるにも関わらず、リリース情報すら流していない PivotX 開発チームは、個人的には信頼できない(開発チームは、今回の件を大事にしたくなかったという声もある)。そのようにリスキーと考えられるCMSは、いかに魅力的であろうとも利用する前によくよくの検討が必要だろう。
またWAFの導入など、今回のような脆弱性には対応できないとしても、事前にできる限り大きく網をかけておく事も大切だ。今回はサーバー側の事情でそれが許されなかったが、今後のサーバー契約の際にはWAFを重要な設備として検討したい。
下記サイトによると、未だトルコより日本を狙った攻撃が観測されているとのこと。
トルコは親日国だと思っていたが、私自身考えが変わった。トルコに限らず、親日・反日などと国単位で考えても意味がない(まあ当然の話だが)。自分以外の全ては敵なのだというくらいでなければ、自分自身のサイトは守れない。
とりあえず自分が運営しているサイトは、中国・韓国・台湾に加えて、トルコのIPアドレス帯もiptablesで全拒否にしておきます。
そして、今年のクリスマスは七面鳥を食べまくるよ! ターキー死ぬほど食うよ!!