• 締切済み

何者かにファイルをコピーされました。

何者かにファイルをコピーされました。 Linux(CentOS)のサーバーを管理しています。 複数のWebサイトをこのサーバーで運用しているのですが、各Webサイトのルートに、ある日「.htaccess」ファイルを置かれました。内容は特定のURL(悪質なサイト)に転送するというものでした。 当然私はそんなファイルは置いた覚えはないし、このサーバーをログイン出来る他の人に聞いても、そんな事はしていないという事でした。 ファイルの所有者は「apache」で、タイムスタンプは8/17。8/17のログイン記録をみて見ましたが、特に怪しいログインはありませんでした。 所有者が「apache」となっているので、Web経由でアップロードされたものだと予測できますが、どういった原因が予想されるでしょうか? ちなみにファイルアップロード用のフォームがあるサイトも含まれています。 よろしくお願いします。

みんなの回答

  • John_Papa
  • ベストアンサー率61% (1186/1936)
回答No.3

昨年はFTPによる改ざんを追っていました。 そこでは、FTPのユーザー・パスワード=SSHのユーザー・パスワードなので、自由にシェルログインされていました。 FTPに拠らずとも、SSH[22](またはtelnet[23])へのアタックはサーバー開設以来途切れる日はありません。安易なユーザー・パスワードは破られてしまいます。 ご自身ご指摘のphpMyAdminを検索する攻撃は、今年2月頃より見始めました。これも設置がバレれば利用されます。この場合同じサイト改ざんでも「ガンブラー」ではなく「SQLインジェクション」に分類されるでしょう。 apache管理のサイトアクセスログは普通のサーバーでは1週間しか保存されません。 ファイルの所有者がapacheになるケースとしてCGIが利用された可能性があります。 1.perlCGIをcgi-localに、もしくはphpをFTP転送してサイトの構造をチェック 2.指定時以降に各WEBルートに.htaccessを生成し、自己消滅するCGIをFTP転送 3.1週間以上後にWWWプロトコルでCGIにアクセス、犯行実行 ガンブラー犯はもっぱらPHPを使ってますので、設置場所を選ばないPHPが使われた確率が高いと思われます。 >どういった原因が予想されるでしょうか? ということですので、私のつたない経験から推測できるものを挙げてみました。 サイト改ざん犯は、私が出会った昨年から既にそうでしたが、全く焦りが無く余裕しゃくしゃくで事に臨んでいます。念頭に置いて対処してください。

すると、全ての回答が全文表示されます。
  • localica
  • ベストアンサー率52% (202/385)
回答No.2

http://blog.f-secure.jp/archives/50354878.html

shows777
質問者

補足

サイトを見ましたが、これには該当しないようです。 FTPのログに、怪しいIPからのアクセスはありませんでした(ログが改竄されていたらどうしようもないですが)。 .htaccessの内容も全然違うものでした。 なによりもファイルの所有者がapacheですので、FTP経由ではないと思われます(apacheというアカウントではFTPアクセスが出来ません)。 色々調べていくうちに、phpMyAdminのsetup.php経由が怪しいと判明しましたので、そちらの線で調べています。 有り難う御座いました。

すると、全ての回答が全文表示されます。
  • SaKaKashi
  • ベストアンサー率24% (755/3136)
回答No.1

ftpのユーザ名、パスワードが漏れている。

shows777
質問者

補足

上記の回答にも書きましたが、FTPのログに怪しいIPからのアクセスはありませんでした。 色々調べていくうちに、phpMyAdminのsetup.php経由が怪しいと判明しましたので、そちらの線で調べています。 有り難う御座いました。

すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. [技術者向] コンピューター
  3. ITシステム運用・管理
  4. ネットワーク

関連するQ&A

注目のQ&A

カテゴリ

OKWAVE コラム

あなたにピッタリな商品が見つかる! OKWAVE セレクト

専門家に質問してみよう

職業から探して質問する
質問する