某巨大掲示板の Linux 板で情報収集を見ていたら見つけた。

549 名前：login:Penguin[sage] 投稿日：2011/04/08(金) 16:14:31.35 ID:9kSPL0dL

epgrecのthumbsにバックドア仕込まれた。
オープンにして使ってる人いたら気を付けてください。
これに懲りてローカルだけで使うようにしました…

550 名前：名無しさん[sage] 投稿日：2011/04/08(金) 17:38:35.11 id:ui6MCrEk

外からhtmlリードできるだけなら問題ないよね？
IDパスバレてログインされたの？

551 名前：login:Penguin[sage] 投稿日：2011/04/08(金) 18:26:48.31 ID:9kSPL0dL

ログ見る限りログインされた形跡はありませんでした
検索したら全く同じように設置されてたってブログもあったので
何らかの脆弱性を利用したワームかなんかでしょうか…

ちなみにthumbsの下にコマンドを投げるフォームの書かれたa.phpが設置され、
ランダム文字列っぽいディレクトリ
（コンソールから参照できず、samba越しで見つけました）
にdebianとrecpt1が入ってました。
そこで録画も行われてたようでいくつかtsも残ってました。

552 名前：login:Penguin[] 投稿日：2011/04/08(金) 21:03:13.53 id:FFO9Y7b1

>>551
epgrec の php になんか脆弱性があるんでしょうか？

渡しの場合外部に対してはDigest認証しているので、
今のところ被害にはあってないみたいだけど、結構心配です。

ググった限り、a.php の内容見ると、日本語のエンコーディングに詳しそうなので、
仮にepgrec に脆弱性があるのであれば、
ワーム作った作者は日本人の可能性もありますね。
（そもそもepgrec知ってる時点で・・）

epgrec 暇ができたときに読みなおしかなぁ。
作者が直してくれるとありがたいんだけど。

553 名前：login:Penguin[sage] 投稿日：2011/04/08(金) 21:21:46.85 ID:9jf8Elb7

そのts中身何？ちょっと気になる
拡張子がtsなだけでなんか別のファイルだったりするのかしら

554 名前：login:Penguin[sage] 投稿日：2011/04/08(金) 22:54:44.84 id:cWgShroF

そのa.phpうｐしてほしい。問題ないならね。
ちょっと怖いなあそれ。

562 名前：login:Penguin[sage] 投稿日：2011/04/09(土) 03:34:23.51 ID:7955Ail7

>>551
定かではないですがthumbsにphpが仕込まれたということは
epgrecでサムネイル生成にコードを割り込ませた可能性は考えられますね

>>553
仕事中に発見して大急ぎで処置しちゃったので中身は確認してなかったです。
ただファイル名がtvtokyo.tsだったり、
それを録画したと思しきシェルスクリプトもあったので恐らく普通のtsだと思います

とかく自分用のツールとはいえ不用意にオープンで運用するもんじゃありませんね…痛感しました

573 名前：login:Penguin[sage] 投稿日：2011/04/10(日) 21:42:09.99 id:rQMhRyxH

>>554
俺もa.phpを設置されたことがあって、はてなに記事残してる。
恥ずかしいサイトだがよければどうぞ。
http://d.hatena.ne.jp/panzer-jagdironscrap1/20110225

【視聴・録画】Linuxでテレビ総合4【ﾃﾞｼﾞﾀﾙ/ｱﾅﾛｸﾞ】

侵入されたってことかな。どういう状態で侵入されたのかわからないけど、ノーガードっていうくらいだから本当にノーガードだったんだろうか。自分のところもなんだか心配になってきた。