先日書いたこれ☟
食らったのでMovable Type 7 r.5003にアップデートしました
バージョンアップデートするだけじゃ無くて、不要ファイル(mt-xmlrpc.cgiとか)を削除したりパーミッションを見直したりもしてコツコツ頑張ったのですが、全然完治してなかった。
その後も.htaccessが書き換えられたり、index.phpが書き換えられたりの後遺症が続いていて、めっちゃウンコ出そうな気持ちに。
不要phpファイルの量産はされなくなったので、気付いたときにサイトを再構築すれば書き換えられたインデックスは元に戻るし閲覧はできるけど全然根本解決にはならない。虚しいいたちごっこ。
ウンコが出そうな日々をおくりなりながらも、昨日は
- 更なる最新版(Movable Type 7 r.5004)にアップデートし直し
- 各所パスワードを変更(データベースまでも!)
と、健気な対応を取る。
「これでもう便意よ止まってくれ...」と思っていたのですが、本日もまた昼過ぎにインデックスの書き換えをやられてめっちゃウンコ飛び出た。.htaccessの書き換えは収まったけどイミネー。
やまない便意と戦いながら日常を過ごし、昨日から公開されていたWWW WATCHの記事をなんとなく読んだ。MTアドベントカレンダーはじまってたぁ。
書かれている内容とほぼ同じ状況だったので「そうそう、うちもそれなんすよ〜デコードしたした〜ヘラヘラ」みたいな感じで読んでいた。ら、さりげない一文に僥倖が。
なお、ドキュメントルートだけでなく、例えば画像が入っているディレクトリの下の階層の方に同様の PHP ファイルが設置されていた例も私が担当した範囲で観測していますので、ドキュメントルートだけを確認して安心するのは危険ですからやめましょう。
Movable Type の XMLRPC API における OS コマンドインジェクションの脆弱性 (CVE-2021-20837) を悪用した攻撃被害に関する対応メモ | WWW WATCH
──そう...ね。
(jsとかはファイルの中身もチェックしてたけど画像フォルダ見てなかった。)
・
・
・
image/commonの中になんか知らんphpあるぅ!
よかった(?)めちゃくちゃ堂々と居ましたわ。知らんphpファイル。そのxmlrpcs.phpの一部はこんな感じ☟
define('PASSWD','**********');/*默认是admin*/
define('VERSION','Baby Bao~(可绕过安全狗、360WAF、百度云、阿里云Waf、牛盾、云盾、以及冷门Waf、市面所有后门检测工具');
うわぁめっちゃ中華臭。
わたしが数日やってた健気な対応ってなんだったの...と「そこじゃ無かった感」をかみしめる結果に。みつけた該当ファイルは削除済み...。
便意が去って良かった。(一応もうすこし経過見るけど...)
2021年12月3日追記
うちはサイト全体が.phpなので、最初は記事ページや記事一覧ページ(=階層問わず名前がindex.phpのファイル以外)が403で気付きました。
初手のMovable Type 7 r.5003アップデート対応以降(まだimage階層の奥底に隠されたゴミphpに気付いていない状態)は、インデックス(トップページ)だけが「謎のphpコード+タイトルタグだけが変更されたソース」に書き換えられられて出力される→index.phpの表示が真っ白に燃え尽きてるっていう状態でした。
なので、拡張子が.phpなサイトの人でも、サイト全体を見ていればどの状態でも「どした?」と気付けるかと思われます。(みんな自分のサイトをまんべんなく見てみようね〜。)
2021年12月5日追記
まだ続くんじゃよ...先日(4日のログを確認)もまだやられてたぁ...。
めっちゃウンコ漏らしながら該当日のサーバーログをチェックしてmt/themes.phpへのアクセスがやたらとあるのを確認。ファイル名が超自然だからスルーしてたけど「mt直下にそんなphpあったか...??」とささやかな違和感だけを頼りにサラのパッケージファイルと比較して確認。そんなファイルねぇな!とわかりました。
mt/themes.phpは開いてみると「よぅ、おまえか」な内容でしたのでシュッと削除...。やることなすこと全部逆順、みたいな要領の悪い対応をしていて「管轄外のことに手を出すのは大変だな」のお気持ち。もうおなかいっぱいよ...。
