フィッシングサイトを入れられていました

恥ずかしながら、自分のサイトにフィッシングサイトのページが入れられていました。

MODxが入っているところだけにあったので、MODxの0.9.2.1のセキュリティの問題だったかもしれません。
manager, assetsと同じ階層に’=’というディレクトリがあり、そこから深いところにフィッシングページありました。

10/5にファイルがアップされていて、今日まで稼動していました。

今は、0.9.2.2のパッチをあてましたので大丈夫だと思いますが、もしMODxをターゲットにされているのでしたら、一度ご確認されるといいと思います。


ちなみに、そのフィッシングページは外国銀行とそっくりにして、IDとパスワード、銀行名、IPアドレスを、フリーメールアドレスへ送るものです。

そのページはまだ残ってますか？もしよければ、書き換えられてしまった様子をスクリーンキャプチャーで
いただきたいのですが。クラックが横行しているようですが、分かりやすくビジュアル込みで警告トピを
立ててみようかなと考えてます。

はじめましてnoriです。
最近MODｘを導入したばかりの初心者ですが、MODｘ関係
のページを検索してみると、セキュリティの話題が多く見られます。

内容はFCKeditorの脆弱性をつかれた、とか
register_globalsを追加して、config.inc.phpを
書き換えるとか、色々書いてありますが．．

そもそも、数あるサイトの中から、ピンポイントでMODｘ
サイトを調べるのは、どのようにしているのでしょうか？

MODｘ関係のリンクを持つサイトを、拾い出し攻撃するプログラム
とかがあるのかな？　ちょっと疑問におもったので書き込みしました。

脆弱性のある特定のURLのパターンが分かるので、あとは総当りでスキャンしちゃえばビンゴになる　って感じじゃないっすかねぇ
踏み台　とかをキーワードでぐぐると出てくるかも・・

たぶんMODxをピンポイントで狙って探しているわけではないと思います。
たいていのCMSにはバージョンによって何らかの脆弱性があるもので、
犯人はそういうリストを作っているのではないでしょうか。そのリストはきちんと
分類してあって、ここはXoopsで作ってあって、ここはJoomla、MODx。
というふうに、いつでもオイタに使えるようにストックしてあるのではないかと。

自分のサイトも過去書き換えられたことがあります。(SS添付しました)
当時はgoogleで"powerd by MODx"で検索してくる人が一時的に
増えていたので、(推進派としては残しておきたいものかもしれませんが)
CMSを特定される文字列は消しておいたほうが良いかもしれませんね。
ある時刻を境に50以上のリモートホストから内容の異なる攻撃を
受けていたので、どこかそういうURLを公開している場所がありそうです。

みなさん、コメントをありがとうございます。

MODx特有の問題ではないのですね。PHPの使い方で脆弱性がでてくるものだから、MODxがいろいろなソフトから作られている以上ありうるようですね。
MODxだけではなくて、他のソフトもいろいろなソフトを構成している以上、ありうる話ですか。

今回は画面を書き換えられたのではないので、２ヶ月近く気づかなかったようです。10/5に最終更新日だったので、おそらくその日にアップされたのだと思います。

画面は無いので、今回入っていたフィッシングページをディレクトリごとzipしてつけておきました。ページについて詳しく載せると悪用する人がいるかもしれないと思い詳しいことは触れませんでしたが、単にIDとパスワードをメールで送るという簡単なプログラムなので公開します。

参考にしてもらえればと思います。（問題でしたら削除します）
もちろんウィルスは入っていません。