脆弱性について

31 views
Skip to first unread message

YS

unread,
Aug 19, 2025, 3:09:16 AMAug 19
to a-blog cms forum
お世話になります。

本日、クローク攻撃がされていることが発覚しました。
原因は推測なのですが、以下のような事象が確認されました。

1. index.phpが書き換え(差し替えると復旧)
2. themes内にhmm.phpが作成される(4/7に作成されたようです。)
3. 外部からhmm.phpにアクセスしルートにreadme.htmlを作成
4. hmm.phpがindex.phpを改ざん

サーバ管理者曰くFTPによるものではなさそうとのことなので、
原因はわかりますでしょうか?

ファイル作成日からすると3/22に発表された脆弱性のパッチを当てる前か後かがわからないのですが、
対策前だとすると上記のような攻撃される可能性はありますでしょうか?
(ちなみに、パッチの履歴(日付)を遡ることは可能でしょうか?)

伊藤淳

unread,
Aug 19, 2025, 3:40:44 AMAug 19
to a-blog cms forum
お世話になっております。この度はご不安をおかけしてしまい、誠に申し訳ございません。

今回の事象は、今年3月に公表された脆弱性に起因している可能性が高いと考えられます。  
対策前の状態ですと、ご指摘のような攻撃を受ける可能性がございます。
また、攻撃後に不正なスクリプト(バックドア)が設置されてしまった場合、CMSをバージョンアップしていたとしても、そのバックドアを利用した攻撃が継続して行われる危険性があります。

詳細については以下のページをご参照ください。  
https://developer.a-blogcms.jp/blog/news/entry-4196.html

大変お手数ですが、マルウェアなどの不正ファイルが残っていないかをご確認いただき、削除のうえCMSアップデート、.htaccessなどで対策をお願いいたします。
ご不明点などございましたら、どうぞお気軽にお聞かせください。

よろしくお願いいたします。
2025年8月19日火曜日 16:09:16 UTC+9 YS:

YS

unread,
Aug 19, 2025, 5:41:57 AMAug 19
to a-blog cms forum
ありがとうございます。
侵入はパッチ対策前ということで、一旦様子をみようと思います。

2025年8月19日火曜日 16:40:44 UTC+9 伊藤淳:
Reply all
Reply to author
Forward
0 new messages