トップページ > 記事閲覧
【トラブル】QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/21(Wed) 18:49
投稿者 bee
参照先
以下に掲載されているサイバー攻撃のうち、
Team System Dz が関与したものに QHM を狙ったものが多数存在します。
http://izumino.jp/Security/def_jp.html

QHM を利用しているらしきものについてまとめます。

(以下にはURLを記載しますが、マルウェア感染の可能性があるため安易にアクセスしないでください)

01. roumusi-af.jp: QHM 6.0.7
02. kul.co.jp: QHM 5.3
03. satomiyasan.jp: QHM 5.3
04. shochu-export.jp: QHM 5.3
05. www.alumnideaf-tsukuba.jp: QHM 5.3
06. accafe.jp: QHM 4.74
07. www.mistral.co.jp: 不明
08. moonshell-i.jp: 不明
09. www.kawa-kita.or.jp: QHM 4.9
10. www.sd-arc.jp: 不明

06 は開発元の北研のサーバーです。
12>
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2017/01/13(Fri) 16:24
投稿者 ナカヒ
参照先
連続の投稿で、すみません m(_ _)m

私が少しだけ関わっている、下記の整体スクールのサイトは、
一般のページは、WordPressを使っていますが、

会員だけのサイトは、まだ、QHM 5.1 を使っています。
セキュリティなど、気にしてないようです。

Quick Commu も使っています。
パスワードで保護しているから大丈夫かな?

http://herumes-jpsa.com/member/

他にも、QHMやhaikで作ったサイトは、見ると すぐ分かるのですが、
たぶん本業で忙しくて、北研からHAIKに変わったことも、

いろいろな問題も、知らないか関心がなく使っている
人や組織も多いんじゃないかと思います。

そこまで心配しても仕方ないかな??
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2017/01/12(Thu) 06:49
投稿者 うみほし
参照先 https://umihoshi.com
>backupフォルダ内の 英数字.gz は、ページを編集して書き込むと
作成、更新されるファイルです。削除しなくても良いと思います
削除してもシステム上問題はないはずです。

 私は直近数日分以外はどんどん削除してます。放置するとたまる一方なので、定期的に片付けた方がいいでしょう。
 サイトのバックアップをまめに取っていればこれらのファイルは不要だと思います。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2017/01/11(Wed) 18:14
投稿者 うみほし
参照先 https://umihoshi.com
中の掲示板へのコメントです。あちらでは削除されるかもしれないので,こちらにも引用しておきます。

*********************************************
HAIKへの組織的攻撃から1ヶ月たちました。
12月の攻撃では多くのHAIK、QHMサイトの改ざんが確認されています。
にもかかわらず、HAIK-Teamからはまだ対処方法について公式な通知がありませんね。
まさか6.0.8にアップデートしてくださいで終わりですか?
アップデートしても改ざんされたサイトは元に戻りませんよ。
仕込まれたウイルスは消えませんよ?
改ざんの確認方法と、改ざんの修復方法も会員に通知すべき重要な情報でしょう。
本来なら緊急警報を流すべき事例です。
危機管理がおそろかではないでしょうか。
素人の私でも調査できた情報ですよ。チームの皆さんにできないはずがありません。
いくら集客にすぐれたサイトができても、システム管理がおろそかでは砂上の楼閣です。
今回の攻撃はHAIKに対するハッカーの警告と受け止めるべきです。
私たちはチームとユーザーの協力のもと、HAIKを安心できるシステムに育てていかなくてはならないと思います。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/25(Sun) 19:58
投稿者 うみほし
参照先 https://umihoshi.com
追記:編集メニューーツールーswfuで表示できるswfuの履歴からわかりました。攻撃日に、

swfu/d/11n111.php

もかってにアップされていたので削除しました。
test.htmlの中身
投稿日 : 2016/12/25(Sun) 18:50
投稿者 うみほし
参照先 https://umihoshi.com
気になったのでtest.htmlの中身を見ました。
--------------------------------------------
<?php
$arr = unserialize(file_get_contents('cacheqblog/51426C6F672D32303132303831342D31.qbcm.dat'));
echo nl2br(print_r($arr, TRUE));
//var_dump($arr);
-----------------------------------------------------
 となっているので、参照していると思われる

/acheqblog/51426C6F672D32303132303831342D31.qbcm.dat

 を探して確認しました。

 しかし中身を確認するとただのブログデータでした。
何で参照しているのか気持ち悪いです。

 このファイルを抜いてみると、該当ブログの文章が無くなり、戻すと元通り表示。特に何か悪さしているように見えなかったので、そのままにしておきました。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/25(Sun) 10:17
投稿者 うみほし
参照先 https://umihoshi.com
swfuのフォルダを点検したところ、
dにもTary.phpを発見。削除しました。
dにはアップした画像以外はないはずなのに紛れ込んでいました。
swfuがらみの脆弱性でしょうね。
私のサイトは22日のファイルが見つかったのでこの日に攻撃があったようです。
これで防御できていればいいのですが。
まとめスレッドを立てて貰えないでしょうか
投稿日 : 2016/12/25(Sun) 07:17
投稿者 うみほし
参照先 https://umihoshi.com
3日程留守をしていたので昨夜アップグレードしました。テスト用サイトは面倒だったので、初期化してまっさらに。
 それでサイト内のゴミ探しをしたのですが、このスレッドも長くなり、どのファイルを削除すべきか探しにくくなっています。
 別スレッドで「改竄されたサイトで削除すべきファイルのリスト」をまとめてくれると多くの人が助かると思います。作ってくれないでしょうか。
 まとめができたらCLUB内の掲示板にも紹介したいと思います。

 とりあえず、暫定情報として会員掲示板にも書いておきました。

 あとはこれで攻撃が防げているのか確認も必要ですね。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/24(Sat) 08:55
投稿者 bee
参照先
さっき気付いたんですが…。
QHM と WordPress など別の CMS を併用していた場合、MySQL のパスワードも変えたほうがいいですね。
wp-config.php に MySQL のパスワードが書かれていて、このファイルもたぶん漏れていますから。

もちろん、QHM のパスワードも変えたほうがいいです。
tomzo さんが言及するまですっかり忘れていました。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 20:05
投稿者 いしまる
参照先 http://haik.oi21.net/
ミルフィーユ さんへ

>と言うことは、拡張子gzの件と
>swfu/upload.phpの削除の件は、
>共に何もしなくて良いと言うことですね?

6.08が正常にアップデートできていればそういう事に
なると思います。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 19:56
投稿者 ミルフィーユ
参照先 http://qhm.fujigopc.com/
いしまるさん。ご回答ありがとうございます。

と言うことは、拡張子gzの件と
swfu/upload.phpの削除の件は、
共に何もしなくて良いと言うことですね?
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 19:32
投稿者 いしまる
参照先 http://haik.oi21.net/
backupフォルダ内の 英数字.gz は、ページを編集して書き込むと
作成、更新されるファイルです。削除しなくても良いと思います
削除してもシステム上問題はないはずです。

swfu/upload.php は、IEから操作する時に利用されうものという
情報が本フォーラムの修正していただいた方からコメントありました。
したがって、6.08に更新し、削除はしない方が良い事になると
思います。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 19:21
投稿者 ミルフィーユ
参照先 http://qhm.fujigopc.com/
tomzoさんにお聞きします。教えて下さい。

> バックアップした覚えがない日に /backup/xxxx.gz が作成されている

との投稿記載について、
当方のサイトのbackupフォルダにも拡張子gzのファイルが大量に
存在しています。それらの全てを削除しても問題ないでしょうか?

swfu/upload.phpは削除すべきでしょうか?
削除することで発生する不具合?はあるのでしょうか?
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 18:23
投稿者 tomzo
参照先 http://haik.qhmtips.com/
beeさん

>> tomzo さん
>すみません。vuln.php は私がアップロードしました。
>本当に脆弱性が発生しているのか確認する必要があった…というのは言い訳ですね。
>脆弱性を勝手に使うのは非常に軽率な真似だったと思います。本当にごめんなさい。

今回は、beeさんの情報提供により対処できたので、しかたないことだと思います。

beeさん、ありがとうございました。
私はまだ、これから他に作成した多数のサイトを対処しないといけないので気が重いです...
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 10:47
投稿者 いしまる
参照先 http://haik.oi21.net/
参考:ロリポップのセキュリティに関するページ
http://lolipop.jp/security/index.php

HAIKの話ではないですが、参考までに…。

昨日、対策しているはずのWebDiraryProの上位ディレクトリの
パーミッションを000にすると予告なしにメールが来て、
FTP接続も出来なく、確認、対策しようにも出来なく問い合わせ中。

HAIKも何かの時にこのように突然制限されてしまうことも
考えられます。便利なCMSツールですが、脆弱性が放置されると
大変な事になりますね。
.htaccessなどの記述でかなりカバーは出来ますが、限界があります。

あとは基本的なパスワード管理の重要性を再確認しました。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 10:44
投稿者 Koujin
参照先
HIKARIさんの書き込みに

HAIK-CLUBでは、v6.0.8となっていて
「SWFUを利用した、外部から不正にファイルをアップロードできてしまう可能性がある脆弱性への対応」

とありましたが、これってもとはというと、big2menさんが修正版
を作ったから、HAIK-CLUBが発表したのでしょうか?

素朴な質問です。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 08:42
投稿者 HIKARI
参照先
> HIKARI さん
いや、あの、すごい脆弱性なんですけど、外部には一切情報を出さないんですか

と、言いますと・・・^^;
私自身、今一良く分かってません。

エックスサーバーから来たメールでは

検出された不正なファイル
/home/ID/ドメイン/public_html/swfu/js/2017dr.php: Php.Malware.Agent-1426975 FOUND
/home/ID/ドメイン/public_html/tokuten/swfu/d/auto-s3RI0d.zip: Win.Trojan.Vbkrypt-18021 FOUND


不審なアクセスログの一部
41.111.7.217 - - [22/Dec/2016:05:37:27 +0900] "POST /swfu/d/2017dr.php HTTP/1.1" 200 5100
41.111.7.217 - - [22/Dec/2016:05:37:33 +0900] "POST /swfu/d/2017dr.php HTTP/1.1" 200 4612
41.111.7.217 - - [22/Dec/2016:05:38:39 +0900] "POST /swfu/js/2017dr.php HTTP/1.1" 200 3655
41.111.7.217 - - [22/Dec/2016:05:38:52 +0900] "POST /swfu/js/2017dr.php HTTP/1.1" 200 4726


続き
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 08:39
投稿者 HIKARI
参照先
41.111.7.217 - - [22/Dec/2016:05:39:14 +0900] "POST /swfu/js/masservv.php HTTP/1.1" 200 571
41.111.7.217 - - [22/Dec/2016:05:41:00 +0900] "POST /swfu/js/2017dr.php HTTP/1.1" 200 4723
41.111.7.217 - - [22/Dec/2016:05:41:08 +0900] "POST /swfu/js/2017dr.php HTTP/1.1" 200 4669



検出された不正なファイルやアクセス先のファイルは
不正に設置または改ざんされている可能性が高くございます。



(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
 致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。

 →該当プログラムが「どんなコマンドでも実行可能」である場合、
  該当プログラムを経由して不正なコマンドの実行や、
  不正なファイルの設置が行えてしまいます。


との、ことでした
他にもある可能性があるので、完全に駆逐するために
全てのドメインを削除してから、アクセス制限解除を行う形になりました

現在は、復旧しましたが、wikiと画像だけのみアップロードしてるので
若干、おかしくて、リンクなのに、リンクになってない箇所がところどころある感じです^^;
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 07:39
投稿者 bee
参照先
> tomzo さん
すみません。vuln.php は私がアップロードしました。
本当に脆弱性が発生しているのか確認する必要があった…というのは言い訳ですね。
脆弱性を勝手に使うのは非常に軽率な真似だったと思います。本当にごめんなさい。

> HIKARI さん
いや、あの、すごい脆弱性なんですけど、外部には一切情報を出さないんですか…。
えええ…。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 06:31
投稿者 HIKARI
参照先
私も、改ざんされて、エックスサーバーから、
「不正なアクセスの検知および制限の実施」
と言う事で、全サイト403エラーになってしまいました

エックスサーバーからは
「お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。」

とのことで、


不正なファイル
swfu/js/2017dr.php 等が発見しました


ローカルに入れると、ESETセキュリティからも駆除されました


そういった経由から、今回、初めてHAIK-CLUBに入って
新しいバージョンのHAIKをインストールして、wikiと画像だけいれて対応しましたが

その他、必要なデータはあるのでしょうか?

因みに、HAIK-CLUBでは、v6.0.8となっていて
「SWFUを利用した、外部から不正にファイルをアップロードできてしまう可能性がある脆弱性への対応」

と、なっていますね!

(ご参考)
http://www.aguse.jp/
http://check.gred.jp/
※入力したサイトの「運用サーバー」や「セキュリティ状況」等を
 総合的にチェックするサイトです。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 02:32
投稿者 tomzo
参照先 http://haik.qhmtips.com/
---続き---
2.バックアップした覚えがない日に /backup/xxxx.gz が作成されている


【対策】
1. 追加された不要なファイルを削除
2. swfu/upload.php を削除
3.パスワードの変更
4. 当サイトは古いQHMを多数使用して、その版数に対応したTIPSを
 載せているのでHAIKにバージョンアップしたらTIPSがNGとなるため
 どうするか検討中。
 最悪は、サイトの閉鎖かも....

------------------------------------------
■haik.qhmtips.com (HAIKユーザのためのTIPS)

【症状】
1.以下のファイルが追加された
 qhmtips.com/test.html

【対策】
1. 追加された不要なファイルを削除
2. swfu/upload.php を削除
3. HAIK 6.0.8へバージョンアップ実施
4.パスワードの変更


ログファイルは保存してあり、これから解析します。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/23(Fri) 02:31
投稿者 tomzo
参照先 http://haik.qhmtips.com/
tomzoです

みなさん、いろんな情報提供ありがとうございます。
また、最新版のHAIK提供ありがとうございます。
当サイトも改ざんされていて対応に苦労していました。
状況を報告します。

------------------------------------------
■qhmtips.com (QHMユーザのためのTIPS)

【症状】
1.以下のファイルが追加された
 qhmtips.com/test.html
/swfu/vuln.php
/swfu/js/117.php
/swfu/js/2017dr.php
/swfu/js/index.php

swfu/data/image.txt に以下が追加されていた。
(なぜか 117.phpが無く、2017dr.phpが2個ある)

108##SEP##2017dr.php##SEP##画像の説明##SEP##1478447579##SEP##24499##SEP####SEP##
109##SEP##2017dr.php##SEP##画像の説明##SEP##1482115313##SEP##24499##SEP####SEP##
110##SEP##vuln.php##SEP##画像の説明##SEP##1482369256##SEP##130##SEP####SEP##

---続く---
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 23:46
投稿者 big2men
参照先
現時点で確認できた脆弱性を修正したバージョン v6.0.8 を先程リリースしました。
ご利用のQHMを直ちに最新版へアップデートしてください。

タグ付けもしました。v6.0.6-7 は忘れてましたね。。
https://github.com/open-qhm/qhm/releases/tag/v6.0.8

取り急ぎご報告まで
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 20:10
投稿者 bee
参照先
> 肝臓 さん
swfu/js ですか?
これはまた面白いところにファイルを置かれましたね…。

面白いなどと言うと不謹慎かもしれませんが、今日対策した脆弱性では swfu/js にファイルは置けないはずです。
どうやったんだろう…。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 18:57
投稿者 肝臓
参照先
私の会社でも同様の被害にあいましたので、現時点で判明していることをここでシェアいたします。

swfu/js内に「2017dr.php」「117.php」のファイルが確認されました。
暗号化されていましたが解除して確認したところ、今回のハッキングチームのURLの記述を発見。
サーバーのアクセスログでは117.phpは11/16日ごろに、2017dr.phpは改竄の日にアクセスされており、同一のIPからtest.htmlへの最初のアクセスも確認できました。

とりあえず被害に遭われた方は該当のファイルを探し削除することをオススメします。
と言っても、根本が解決されていませんので同じことが行われれば意味がありませんが。。

この問題に関する公式からの早期アナウンスを求めます。(会員以外も閲覧できる形で)
あまりにもお粗末、被害は拡大する一方でしょう。

被害については大阪府警からの連絡を受け発覚しました。(担当者によるとQHM,pukiwiki関連での被害ではないかと見ているとのことでした)
今回のphpファイル、アクセスログなどは提出済みです。

もう一度書きますが、該当ファイルの削除など含め公式のアナウンスを望みます。(ここで書いても意味がないかもしれませんが)
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 18:28
投稿者 bee
参照先
> Big2men さん
PR の修正確認しました。
Workaround としては十分だと思います。

あとは merge したあと tag を打つのを忘れないでいただければ。
(そうしないとRelease 一覧から zip をダウンロードできないので…)
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 17:25
投稿者 震電
参照先 http://pawarage.tk/
うーむ。今回の攻撃は完全にQHMで構築されたサイトへの攻撃のようです。今現在も無数のQHMサイトが攻撃されてますね。
http://izumino.jp/Security/def_jp.html
ここの改ざん情報からtest.htmlを抜いたURLを打ち込んでみると見事に全てQHM。
ついに自分のサイトも喰らいましたよええ(´・ω・`)
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 17:13
投稿者 bee
参照先
> 箔ono さん
ほぼ一緒です。

が、別に消してしまっても問題ないと思います。
新バージョンが公開されたら上書きするわけですし。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 16:20
投稿者 koujin
参照先
beeさんへ

ありがとうございます、助かります。
早速、パーミッションの設定とswfu/upload.php の削除をしました。
HAIKを閉鎖してても、意味がないんですね。

なんかえらいことになってきましたね。
対処の仕方がわからずに、きっと右往左往する人もいるでしょうね。
今後、この掲示版で動向を見ておきます。
なかなか、高度な内容で着いて行けませ〜ん。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 16:09
投稿者 箔ono
参照先
初心者の質問なのですが、
swfu/upload.phpの中身を空にして保存しても
削除と同じ意味でしょうか?なんか、削除が怖くて
中身を空にしてすむならその方がいいかもと思い、質問させて
いただきました。よろしくお願いいたします。
Re: QHMで構築されたサイトが攻撃されています
投稿日 : 2016/12/22(Thu) 15:38
投稿者 bee
参照先
> Big2men さん
> IE では swfuupload.js とともに利用されているはずです。
うっ、そうなんですか。
そこまで確認していませんでした。すみません。

そして Windows だと 666 でもダメか…。
視野が狭くてダメだなあと痛感しました。
どうしたものですかね…。
12>

- WEB PATIO -