PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/
ロリポップを使用しているのですが、お知らせでも出ていました。
自分は、PHPMailer自体は使用していないものの、WordPressを使用していたので、脆弱性を突かれた形になりました。
■脆弱性の影響を受ける可能性のあるもの
1:下記のようなソフトウェア
・WordPress
・Drupal
・1CRM
・SugarCRM
・Yii
・Joomla!
2:上記のようなソフトウェア向けに提供されているメール送信系のプラグイン
3:その他「PHPMailer」を使用したプログラム
忙しい(笑)年末~年始にかけて、サイトの乗っ取りにあったので、その経緯を。
- 3,4年ぐらい前に試しに作ってみたまま放置していたWordPressのサイトがどうにも乗っ取られたみたいで、レンタルサーバー会社から警告メールが届く。
- 気づいた時には数時間経過
- 警告メールを見る限り、約300通(サーバー側で制限されている)/時間 ぐらいメールを送っている
- 5~10時間経過後に、3000通超えのメールを送信し、サーバー側からファイルを特定され、パーミッション「000」へ変更され、何も出来なくなる
1~4を3回繰り返しました。
少なくとも、
もちろん、警告メールが来てから手をこまねいていたわけではありません。
・WordPressおよび、プラグインの最新化
・バックアップの取得および、怪しいファイルの調査
・.ftpaccessの設定
など、セキュリティ対策の要綱として上げられそうなことを試していきます。
一旦、上記を済ませたものの、止まらない警告メール・・・
ファイルの調査とは言うものの、複数ドメインが登録されており、WordPressなどのCMSを利用しているため、ファイルは数十万個・・・
メールとPHPMailerの脆弱性ということなので、PHPが怪しいと踏んで、元々存在しないファイルを探し始めるも、WordPressで登録されているファイルだけでも、ファイルの一覧がヤバイことに・・・
どうすれば・・・と途方にくれていたら、4番目のサーバー側からファイルを特定してくれました。
一安心と思っていたら、数時間後に、再度警告メールが届き、1~4を3回繰り返すことに・・・
ただ、運がいいのか悪いのか、この3回とも、同じ登録ドメイン下で起こってました。
なので、該当ドメインで作ったサイトを確認し、テスト的に作ったものだと分かったので、ドメイン配下のファイル全てを削除。
それ以降、警告メールはありません。
めでたしめでた・・・くない訳で。
多分、年末に警告されていたWordPress絡みのセキュリティを突かれた形だけど、他のサイトで起こっていてもおかしくなかった。
そして、運用に乗っているサイトで被害にあっていたら、今回みたいな全削除という手段は取れないので、WordPressの復旧方法とかを学ぼうと決意しました。