--.--/--.--  /* スポンサーサイト */

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
Entry Time --:--  [Category:スポンサー広告] cm tb Top↑

Comment



SUBJECT 
NAME 
BLOG/HP 
PASS 
[管理者に秘密文書を送る場合チェック] 
OK? 

Trackback

スポンサーサイトのトラックバックアドレス
http://lazynote.blog26.fc2.com/tb.php/995-b28863a3

2013.02/02.Sat  /* 攻撃 */

アメリカの大手企業なんかがターゲットらしく、手口も洗練されてるとかで。
あ、ハッキングの話です。
アメリカに限らず、なんか最近多い気がする。

私が前勤めていた会社で管理していたサーバもページ改竄されてました。
こっちはアマチュアっていうかただのツール使ったアタックぽい感じがしなくもないけど、いやー辞めててよかった。
前の会社からどうしよう?って連絡きたから、どうしようもないですねーなんて他人事決め込んでたんだけど、正式にうちにスポット対応の依頼来ちゃったから真面目に仕事してました。


役に立つか分かんないけど詳細メモ
攻撃受けたのは、素材ダウンロードサイト動かしてたWebサーバ。

[状況]
・サイトのCSSが読み込めていない
・Chromeで表示しようとすると、問題のあるサイトどーのこーのの警告が表示される
・各ディレクトリにhtaccessや知らないphpファイルが作成されている
・JavaScriptファイルが改竄されている

こんな感じになってた。

[詳細]
追加されていたphpファイルの中身は、Base64でエンコードされた命令文のみ。
内容はたぶんこんな感じ。
・とりあえずログ出力オフ
・外部からPOSTで命令文受け取って、任意のコード実行か指定ファイルの改竄
思いっきりバックドアしてる内容。

htaccessの方は、全リンクを強制的に特定サイトにリダイレクトする類の内容のみ。
JavaScriptの改竄は、document.writeでiFrame追加して特定サイトの埋め込みのみ。

[対応]
とりあえず全部パスワード変えた方がいいですよーと伝えるもスルーされる。
結局割られたユーザアカウントだけパスワード変更して、改竄されたファイルの修正、バックドアの削除だけやって終了。


日本の企業ってセキュリティ甘いですね。
Entry Time 17:25  [Category:Diary] [Comment:0] [Trackback:0] Top↑

Comment



SUBJECT 
NAME 
BLOG/HP 
PASS 
[管理者に秘密文書を送る場合チェック] 
OK? 

Trackback

攻撃のトラックバックアドレス
http://lazynote.blog26.fc2.com/tb.php/995-b28863a3
上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。