その他 : parallels plesk panelの脆弱性について(Webサイト改竄)
VPSを利用してると、サイト管理にparallels plesk panel(パラレルス・プレスク・デスク)を利用してる人多いと思います。
今年に入ってから、プレスクの脆弱性をつかれてWebサイトを改竄されマルウェアに感染させられているサイトが非常に目立っています。
サイトを改竄されているのですが、実際に変更されているのはhtmlでもphpでもperlでもDBでもありません。apacheのモジュールが入れ替えられているので、サイト管理者はなかなか感染に気付かないようです。
仕組みはapache moduleで他のサイトへリダイレクトするコード(JavaScript)を埋め込んでいます。
サーバが生成したhtml -> 感染[apache module] -> 改竄(html)
リダイレクト先には、Flash,Java,pdfなどにウィルス感染コードを埋め込んでいます。知らずにアクセスしたユーザのパソコンにウィルスを感染させます。
サーバの乗っ取り方法自体はSQLインジェクションでそんなに高度な方法ではありません。
感染した場合、慌ててhtml,スクリプトファイルをバックアップから上書きしたり、古いDBをリストアしたりしてドツボに嵌る人がいるようですが、apacheのモジュールが感染しているため、根本的な解決にならないです。つまりマルウェアは削除されません。
復旧方法・対処方法などは意外と簡単なことなんですが、管理人の会社で有償で対応しているのでここには記載しません。
対応は株式会社ナインスターズにて承っていますのでご連絡ください。
投稿された内容の著作権はコメントの投稿者に帰属します。