とあるクライアントAのサイトいれているサーバーが、最近マルウェアを埋め込まれたり改竄されるため、引っ越すことに。

サーバーを直接クライアントAに提供している会社Bに相談したら、他のサーバーを用意してくれるということで、データベースだけ引っ越しておいてもらうことにした(ファイルは感染してたらいやだから、初期に導入したファイルをアップしなおすことに)。
ちなみに会社Bはレンタルサーバ会社Fからサーバーを借りて、それを提供しているらしい。だから、サーバー自体はF会社のサーバ(もうプラン自体は新規提供していない)。

そのあと、うちでCMS(XOOPS)のデータを移行。すると、XOOPSが真っ白(よくある表現ですが)。

phpmyadminなどの情報は聞いてなかったから、非常事態対応的にphpmyadminをサーバに入れて、データベースからデバックをonにしてみたら、テンプレートの記述がおかしいというエラーが出る。

<{$category_id}&phpMyAdmin=595………> みたいに。そりゃ、Smartyもエラーになるわ。うんうん。その一か所を直したら、また他の箇所で同じようなSmaryのエラーが出るので、phpmyadminいれちゃったし、ついでに全部エクスポートして、「phpmyadmin=」を検索してみたら、テンプレート以外にも変な記述が複数あることに気づきました。

1.テンプレートに「<{$category_id}&phpMyAdmin=595………>」という記述が追加されいてる。

2.<a href=””>のリンク先の末尾に、「?phpMyAdmin=595………」という記述が追加されいてる。

3.<a href=””>のリンク先が 「?id=2」みたいな記述だったら「?id=2&phpMyAdmin=595………」という記述が追加されている。

4.<form>タグがあったら、<input type=”hidden” name=”phpMyAdmin” value=”595………” />というコードが追加されている。

怪しすぎる!!!怖い!気持ち悪い!!

自分で、旧サーバにphpmyadminを入れてエクスポートしてみたら、そんな記述はないから、XOOPSのデータか何かに埋め込まれているわけではなさそうです。

新サーバのツール使ってインポートしたときにそうなったとは考えにくいので、おそらく旧サーバで何かのツールでエクスポートしたときにそうなった可能性が高そうです。

今までの経緯でも、ンタルサーバ会社Fが使用している、サーバのコントロールパネル「Parallels Plesk Panel」の脆弱性が怪しそうです。その「Parallels Plesk Panel」のツールを使って、sqlのエクスポートをしたそう。

あとで調べたら「Parallels Plesk Panel」の脆弱性って問題になってました。

旧バージョンの Parallels Plesk Panel の利用に関する注意喚起

ちなみに、「Parallels Plesk Panel」を疑った他のケースは、

変なPHPがインストールされていたので、そのコードを調べたら、下記のサイトがヒットした。

http://forum.parallels.com/showthread.php?286423-Under-Attack&p=685668

「Parallels Plesk Panel」のせいかもね?と思ったのが、5月の頭。

そこからサーバーの引っ越しの作業をお願いしていたら、5月の終わりぐらいに、主要なファイルを<iframe>で別サイトに飛ばすものにすべて書き換えられていました。(index.phpというファイル名や、.htmlファイルが狙われました。フォルダ階層は第2階層まで)

で、引っ越しの準備を進めたら、phpmyadmin= というあやしげなコードを埋め込まれていたと。

phpmyadmin= が埋め込まれているケースに関しては、いろんな検索したけどわからなかったので、記録代わりに記事に書いてみました。