物の見事にXMLRPC API への OS コマンドインジェクションを食らってました
放置状態になっているこのサイト,久々にアクセスしてみたら,トップページが表示されずにindex.phpでエラーが出てますというメッセージが表示される.あれ?indexはphpじゃないはずだけどなあとFTP接続してみたら,んんんん?なんか見覚えの無い名前のフォルダがある.しかも,.htaccessの中身これだったっけ?え,こんなにあちこちのフォルダに.htaccess置いてたっけ????挙げ句にMovable Typeのフォルダが無いーーー?!?!
はい,見事に改竄食らってました.
いろいろ調べた結果,単に見覚えの無いファイルを削除するだけだと,書き込みプロセスが走っていて再び怪しいファイルが生成されてしまうようです.
まず,サーバとMovable Typeで使っているSQLデータベースのパスワードを変更.
それから,書き込みプロセスが走っていないかをサーバのコントロールパネルで確認します.ここでは走っている物は無かったんだけど,心配だったのでSSH接続して変なプロセスが走ってないか確認,これも無かった.
では,改めて不要な.htaccessと謎phpファイルを削除し,もともとあった.htaccessに戻す.これが数が多くて辛かった.
そして,反省しましてMovable Typeをアップデートしました.もとのMovable Typeフォルダが無くなっていたので心配だったので,今は稼働している感じ.
うーむ,こんな辺境,狙われることも無いだろうとほっぽっといたのがよろしくなかった.