VALUE-SERVERがハッキングされる2014年1月19日

1390125494-1
1月19日の16時20分頃,何者かによってvalueserverのs1サーバー(http://s1.valueserver.jp/)が丸ごとハッキングされたみたいだよ。すべてのページのindexファイル(index.html,index.php,index..htmなど)が書き換えられた模様でサーバーの管理画面自体にもアクセスできず。具体的には各ドメインのトップディレクトリに(id.htm in.php index.php index.htm index.html)の5ファイルが置かれていたみたい(-_-;)
中の人たちも近隣住人たちもみんな騒然としていたよ。このブログもvalueserverを利用しているので、(じぶんはs1じゃなかったから直接の影響はなかったものの)他人事ではなかったよ(-_-;)
s1serverJan1914
22時頃
再び改竄され、今度はファンキーな音楽が鳴り響く。
実際に使われていた音楽のurl
ttp://www.thissongissick.com/blog/wp-content/uploads/2012/05/Knife-Party-Bonfire-Original-Mix.mp3
一部の人はindexファイルを再うpして復旧を試みたんだけど二度目の改竄被害が発生。シンプルなページだけど不気味さは相変わらずで、今度は音楽付きでgoogleのwebフォントまで使われていた。インドネシアがどうたらとか書いてあるけどほんまかいな(ーー;)
で、じっさいに書き換えられたファイルのソースがこれ
s1serverJan1914-4
index.html , index.htm , index.php , id.htm
s1serverJan1914-3
inphpの内容
s1serverJan1914-5
wp-admin/index.phpの内容
textはこちら
index.txt  in.txt  admin_index.txt
inphpの内容がどうもヤバいいらしい。サポート掲示板で、デコードするとバックドアとして機能するとの旨を指摘する非意図があらわれた。対策したいと悪意のあるページに書き換えられてもおかしくないとか・・超こわたん(-_-;)
さらに、

s1.valueserver.jpの31337ポート(トロイの木馬に感染したときの
Back Officeポート。通称「エリート」ポート)が空いているね。
http://b.hatena.ne.jp/entry/kumalog.com/2014/01/19201213.php

らしい。
経営のトップは↓な感じだよ

s1serverJan1914-2
午前4時頃
サーバーにアクセスできず
よく設定を間違えると表示されるおなじみの画面…
しばらく様子を見るしかないよね


コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です