被害状況
見るからに怪しいファイルたち
幸い Coppermine Photo Gallery のupload機能の悪用らしく、狙ったフォルダ以外には感染していない模様。
更にサイトのルートに 怪しいファイルがずらり。
先ずは目を引いたのが
6ozyx.php 9qowg.php dqy98.php nubfd.php ORVX-rEoosB.php qvhddgwswr.php tester.php
目立たないようにランダムな名前にしたんだろうけど、すっきりしたルートのお陰で直ぐに見つけられた。
最後の tester.php なんてのが突然実名が出てきたが、どうしてランダム化しなかったのか謎。
tester.phpの優れた機能
tester.php は Lufix Tester というハッキングソフトというか本当のテストツールが悪意を持って使われている様で、ディレクトリが書き込み可能か調べたり・メールは送信してみたり・zipをuploadして解凍展開するという機能がある。
なにこれ使いやすいじゃん。なんて感動するくらい。googleで Lufix Tester [ https://www.google.com/search?q=Lufix+Tester ]を検索すると悲しいかなじゃんじゃん出てくる。大抵フィッシングサイトだけど。
犯人は手作業?
もしかして手動でこのファイルを叩いてインストールしたのかという疑惑も。
そして残りのファイルは他所のサイトからハッキングツールを引っ張ってくる等をeval に eval を重ねて hex2bin と base64 でエンコードしまくったファイル。時間があるときにぼんやり眺めるのが吉な、どっちか言えば初見で抹消しても問題ない。こんなファイル個人的には作らないからね。
その他に
.FoxEx-v1
.FoxRSF-v1
という怪しさ満点のファイルもあったが、こちらは容量0で何かはよくわからなかった。
ディレクトリ編
ty_
というのが出来ていた。中身は抽出したつもりが消してしまったが、まじめなphpメールソフト。コマンドでsendmail していたわけではなく、完全に php だけでメール踏み台機能を実装しようとしたのは証拠を残さないようにカモの知れない。但しサーバに多大なる負荷がかかり、sakura 事務局にバレることになった。
Fox-C
という悪意丸出しのディレクトリが。中身はPHP を有効化する .htaccess と膨大なリンク集。
.htacess
見事に安全に見える txt に対して実行権限を与えている。
ForceType text/plain AddType text/plain .php AddType text/plain .html AddType text/html .shtml AddType txt .php AddHandler server-parsed .php AddHandler txt .php AddHandler txt .html AddHandler txt .shtml Options All
そしてリンク集が
sitexxx-billing-Blesta.txt /home/sitexxx/public_html/billing/config/blesta.php
みたいな内部から php を起動させるリンク集。.htaccess とも見てほしいのだけど、txt で起動させようとしている。これはちょっとね。
次ページにまるまる記載。ざっと見て次に進んでほしい。
本業設計!! 