1月19日の16時20分頃,何者かによってvalueserverのs1サーバー(http://s1.valueserver.jp/)が丸ごとハッキングされたみたいだよ。すべてのページのindexファイル(index.html,index.php,index..htmなど)が書き換えられた模様でサーバーの管理画面自体にもアクセスできず。具体的には各ドメインのトップディレクトリに(id.htm in.php index.php index.htm index.html)の5ファイルが置かれていたみたい(-_-;)
中の人たちも近隣住人たちもみんな騒然としていたよ。このブログもvalueserverを利用しているので、(じぶんはs1じゃなかったから直接の影響はなかったものの)他人事ではなかったよ(-_-;)
22時頃
再び改竄され、今度はファンキーな音楽が鳴り響く。
実際に使われていた音楽のurl
ttp://www.thissongissick.com/blog/wp-content/uploads/2012/05/Knife-Party-Bonfire-Original-Mix.mp3
一部の人はindexファイルを再うpして復旧を試みたんだけど二度目の改竄被害が発生。シンプルなページだけど不気味さは相変わらずで、今度は音楽付きでgoogleのwebフォントまで使われていた。インドネシアがどうたらとか書いてあるけどほんまかいな(ーー;)
で、じっさいに書き換えられたファイルのソースがこれ
index.html , index.htm , index.php , id.htm
inphpの内容
wp-admin/index.phpの内容
textはこちら
index.txt in.txt admin_index.txt
inphpの内容がどうもヤバいいらしい。サポート掲示板で、デコードするとバックドアとして機能するとの旨を指摘する非意図があらわれた。対策したいと悪意のあるページに書き換えられてもおかしくないとか・・超こわたん(-_-;)
さらに、
s1.valueserver.jpの31337ポート(トロイの木馬に感染したときの
Back Officeポート。通称「エリート」ポート)が空いているね。
http://b.hatena.ne.jp/entry/kumalog.com/2014/01/19201213.php
らしい。
経営のトップは↓な感じだよ
Google Glassをゲット。これからいろいろレポートします。初日の感想。僕の英語力では操作が困難w http://t.co/fmYQ31LHyw
— 熊谷正寿 (@m_kumagai) 2014, 1月 19
午前4時頃
サーバーにアクセスできず
よく設定を間違えると表示されるおなじみの画面…
しばらく様子を見るしかないよね