modxでajaxSearchを消していない人は要注意!既にバックドアが仕込まれているかも?! | MODxでハマるありがちな罠と解決法

modxでajaxSearchを消していない人は要注意!既にバックドアが仕込まれているかも?!

たまたまだったのですが、既にメンテナンス契約が切れているお客様から、「ちょいと変なログ出てるから見てくれない?」と言われまして。
以前に私どもが導入したmodx evolution 1.0.3Jだったのですが、バージョンアップを一切すること無く運用されておりました。

ログの内容を確認し、当方で持っていた導入時のバックアップと全コンペアしまして、結果、案の定、バックドアが設置されておりました。

更に調べた所、バックドアとは別の内容でクラックされようとしてたみたいなのでそれも合わせてご報告です。

この件は、ファイルのパーミッション等をそこそこ厳密に行っていたので、ひょっとしたらそれのお陰でファイルの改ざんが無かったのかもしれません。
ただしID、パスワード等のセキュア情報が盗まれている可能性がある旨を伝え、modx、mysql、basic認証等のパスワードを全て書き換えることを推奨しておきました。
その上でバックドアを削除、キャッシュをクリーンアップ、最新版にバージョンアップしました。

なお、タイムスタンプは2014/7/22 9:30前後でしたので比較的最近だと思われます。

注意喚起ということで、クラックされていた内容を記しますので、是非参考にして頂きたいと思います。AjaxSearchがセキュリティホールのあるバージョンのまま放置されていたケースになります。
・/[DocumentRoot]/doc/9n4akb.php が作られている
 #ajaxSearch経由だと思われるバックドア本体。この件はここにできてましたが、他の場所に作られているケースはあるかと思います

また、これは別件かもしれません。
・/[DocumentRoot]/assets/snippets/ditto/snippet.ditto2.php が作られている。ajaxSearch経由だと思われる。
・/[DocumentRoot]/cache/snippet.ditto2.php が作られている。
 #動作させた形跡か

該当のアクセスログはこんな感じでした。

/*---snippet.ditto2.phpにPOST---*/
18*.20*.3*.1* - - [22/Jul/2014:06:48:55 +0900] "POST /assets/snippets/ditto/snippet.ditto2.php HTTP/1.1" 200 69 "http://www.google.com" "Mozilla/5.0 (Windows XP 6.1; rv:12.1) Gecko/2014 Firefox/11.1"

/*---ajaxSearchにPOST---*/
18*.20*.3*.1* - - [22/Jul/2014:09:36:45 +0900] "POST /index-ajax.php HTTP/1.1" 200 81 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/12.1"
18*.20*.3*.1* - - [22/Jul/2014:09:36:46 +0900] "POST /index-ajax.php HTTP/1.1" 200 81 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/12.1"
18*.20*.3*.1* - - [22/Jul/2014:09:36:48 +0900] "POST /index-ajax.php HTTP/1.1" 200 81 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/12.1"
18*.20*.3*.1* - - [22/Jul/2014:09:36:49 +0900] "POST /index-ajax.php HTTP/1.1" 200 81 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/12.1"
18*.20*.3*.1* - - [22/Jul/2014:09:36:50 +0900] "POST /index-ajax.php HTTP/1.1" 200 3488 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/12.1"

/*---バックドアを叩いてみたものの、301と404で弾かれた?(*´∀`)---*/
14*.18*.23*.4* - - [22/Jul/2014:17:04:42 +0900] "POST /assets/docs/9n4akb.php HTTP/1.1" 301 256 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20120427 Firefox/15.0a1"
14*.18*.23*.4* - - [22/Jul/2014:17:04:43 +0900] "GET /assets/docs/9n4akb.php HTTP/1.1" 404 77054 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:15.0) Gecko/20120427 Firefox/15.0a1"

脆弱性の情報はこちら。
[AjaxSearchスニペット - リモートスクリプト実行の脆弱性とその対策]
http://modx.jp/news/961.html

[HACK, check your site: /assets/snippets/ditto/snippet.ditto2.php]
http://forums.modx.com/thread/91891/hack-check-your-site-assets-snippets-ditto-snippet-ditto2-php

ajaxSearchを使わない人は
・/[DocumentRoot]/assets/snippets/ajaxSearch
・/[DocumentRoot]/index-ajax.php
を消しておきましょう。

不要なsnippetやpluginは消した方がいいと思いますので是非。

もし、これを拝見されている方で、セキュリティ・ホールのある古いバージョンのmodxを動かされている方や、modxに限らず、wordpress等のセキュリティ・ホールのあるバージョンで動かされている方は、一度見直しをされた方が良いかと思います。POSTを追うだけでも何かされようとしているのはわかります。昨今のサーバへのクラック行為が余りにも多くて、ログ監視していると気絶しそうになりますから。


作成日
2014.08.03 (日)
最終更新日
2014.08.03 (日)
作成者
Takayuki Hirosawa
  • speed_fish 引っ越ししてからつなげていなかったとても古いnetgearのnas。今日つなげようとしたらlan経由で全くつながらず。windows10が勝手にsmb1を切り捨ててたと判明するまでに3時間。httpでもpingでもつながるのにos… https://t.co/Ejd7om16t0 2018-04-24 11:41:09
  • speed_fish modxからevoが切り離しかー。まあrevoとはもう別物感溢れてたし良いんじゃないでしょうか。やりやすくなるといいなー。 2017-04-28 20:33:09
  • speed_fish Chromeの57から頻発している、ERR_BLOCKED_BY_XSS_AUDITOR。試してみたけど、hidden含め入力項目にJavaScriptが入っても発生。HTTPS化していないフォームはまあ当然発生かな。 2017-04-10 18:00:57
  • speed_fish modxサイトをcloudflare化でeFormで引っかかる。中身みたらsite_urlでリファラーチェックしてました。ssl flexibleを使おうとしてたので、eFormを改造。パラメータにsiteurlを追加しましたとさ。#modx #cloudflare #eform 2017-03-04 00:44:09
  • speed_fish メモメモ。MODxでAMP対応するスニペット。 GETのURLが気に食わないのでリライトかな。 https://t.co/Oa9qzQ5dOr 2017-02-03 01:10:54