public class ClassA public sub main() Console.WriteLine("Hello, ClassA!") end sub end class public class Main public sub main() dim classA() as ClassA() ' ClassA型の配列 ' dim classA() as new ClassA() これはエラー。配列は初期化できない dim classA2 as new ClassA() ' ClassAをインスタンス化 ' classA = classA2 これはエラー。ClassA型とClassAの配列では型が違うのでエラー end sub end class
変数名に括弧をつけることで、配列として宣言される。
これを知らなかったので、「classA()とclassAは型が違います。」みたいなエラーで「???」を繰り返していた。
(´Д`)ハァ…めんどくさ(しらない俺が悪いけど)
大げさかも知れないけど
いっぱいいっぱいorz
いやいや、過去から書いている人多そうじゃん? だから、いっぱいいると思うよ。
そう思っていた時期が俺にもありました(ちょうど今朝)
9:30 ・ω・)おお! VB初めて触ったけど、まぁまぁ面白いじゃん?
12:00 ^ω^)捗るわぁー!今日仕事めっちゃ捗るわぁー
14:00 ・ω・)おっ!この辺の処理リファクタしたほうがいいな。やろやろ。
15:00 ;・ω・)おやおや。。。? 雲行きが怪しくなってきましたよ? soapの管理してくれるクライアントライブラリないの?
16:00 ;・ω・)見つけたけど、なにこれ? 全然動かないし、エラーの原因もわからん。。。
17:00 ;;・ω・)ちょまってて、全然動かないし、色々探しているけど、情報少なすぎませんか?
18:00 #`ω´)キー!!!となりのPHPのサンプルコードは実行できているのに、VBだけ動かん!!!!!
そして今に至る。どうしてこうなった。
VBのことまだ良くわかっていないので、これが普通かもしれませんし、またわかっていたら解決できると思いますが、、、
しかし、今日のはちょっとひどい感じがする。全然見つからないの。。。
とりあえず、まだまだ地獄をさまよいます。これ出来ないと明日辛いのよ。。。どうしよう。
アメリカに質問しよ(´・ω・`)
以前こんな記事をアップ。
「助けてー!レンタルサーバ会社から連絡がきたのー(><」って依頼があって、調べてみたら結構時間かかったので、メモしていました。
そのときの情報を今後のためにログ残しておきます。
レンタルサーバの運営からメールがくる。
「あなたのサーバで、不審なプログラムが動いていたので、パーミッションを000に変更したお(^ω^;」
みたいなメールです。
その内容には、不審なプログラムのパスとファイル名も教えてくれます。
中身覗いたらゾッとした。
<?php $xxxxx = Array(/* アルファベット大文字・小文字がランダムに配置された配列 */); eval(xxx_function($base64_data, $xxxxx)); ?>
xxx_function()はbase64でエンコードされている文字&難読化されている文字列$base64_dataを、$xxxxxの配列を使って復元(?)しているっぽい。
で、動かしてみて、最後にeval()する箇所をechoに変更してみたところ。。。
class SMTP {}
class PHPMailer {}
class phpmailerException extends Exception {}
ひゃぁああああ! 第三者中継だね。。。orz
第三者中継(だいさんしゃちゅうけい)または“Third-Party Mail Relay”とは、インターネット関連の用語で、関係の無い第三者が自由に、電子メール送信に用いる事が可能なメールサーバの設定、もしくはそのような状態を指す。
orz
さて、、、どうすりゃいいかな。
まず初めに、ソースコードとDBをバックアップ。
作業しているときに、地雷踏んで全部消えたら冗談にならいので。
その次に、おかしなファイルを探すことにした。
こういう場合はシェルコマンドを叩けばなんとくなくうまくいくはず。
しかし、レンタルサーバなので、sshを使ってログインができない。
ちょっと特殊な方法でシェルを叩く。
PHPでシェルを実行して結果を参照するコードを用意する。
<?php $command = 'ls -lhR'; $output = array(); $ret = null; exec($command, $output, $ret); file_put_contents('ls.txt', print_r($output, true));
↑のコードはドキュメントルート以下に配置。じゃないとブラウザからアクセス(実行)できないので。
実行すると、↑のphpを配置した箇所にls.txtってファイルが作成される。
こいつを参照してみると。。。
Array
(
// ... 省略
[2393] => ./wp:
[2394] => total 224K
[2395] => drwxr-xr-x 5 user group 4.0K Jan 27 09:55 .
[2396] => drwxr-xr-x 6 user group 4.0K Jan 27 11:15 ..
[2397] => -rw----r-- 1 user group 101 Jan 26 14:55 .htaccess
[2398] => -rw-r--r-- 1 user group 418 Jan 25 2013 index.php
[2399] => -rw-r--r-- 1 user group 20K Jan 1 14:58 license.txt
[2400] => -rw-r--r-- 1 user group 10K Jan 1 14:58 readme.html
[2401] => -rw-r--r-- 1 user group 5.4K Jan 1 14:58 wp-activate.php
[2402] => drwx---r-x 9 user group 8.0K Jan 1 14:58 wp-admin
[2403] => -rw-r--r-- 1 user group 364 Jan 1 14:58 wp-blog-header.php
[2404] => -rw-r--r-- 1 user group 1.5K Jan 1 14:58 wp-comments-post.php
[2405] => -rw-r--r-- 1 user group 3.8K Jan 1 14:58 wp-config-sample.php
[2406] => -rw------- 1 user group 4.3K Jan 27 10:45 wp-config.php
[2407] => drwx---r-x 7 user group 4.0K Jan 27 10:47 wp-content
[2408] => -rw-r--r-- 1 user group 3.3K Jan 24 2015 wp-cron.php
[2409] => drwx---r-x 17 user group 16K Jan 1 14:58 wp-includes
[2410] => -rw-r--r-- 1 user group 2.4K Jan 1 14:58 wp-links-opml.php
[2411] => -rw-r--r-- 1 user group 3.3K Jan 1 14:58 wp-load.php
[2412] => -rw-r--r-- 1 user group 34K Jan 1 14:58 wp-login.php
[2413] => -rw-r--r-- 1 user group 7.7K Jan 1 14:58 wp-mail.php
[2414] => -rw-r--r-- 1 user group 14K Jan 1 14:58 wp-settings.php
[2415] => -rw-r--r-- 1 user group 30K Jan 1 14:58 wp-signup.php
[2416] => -rw-r--r-- 1 user group 4.0K Nov 30 2014 wp-trackback.php
[2417] => -rw-r--r-- 1 user group 3.0K Jan 1 14:58 xmlrpc.php
// ... 省略
)
よし。うまく実行できました。
そこでわかったことは。。。
Jun 7って書いてあった
((((;゚Д゚))))ガクガクブルブル
おそろしいわ。。。
ファイルの配置は、↑の「cookieやpostデータにコードを〜eval()で実行」ってやつで色々ランダム配置されたんだと思う。
postって確かアクセスのログに残らないと思うから。。。レンタルサーバキツイ
そもそもなんでやられたんでしょうね? 原因は?
ざっと上げてこんな感じ。
クソがぁっ!!!!
とりあえず、ログインパスワードがヤバイと思ったので、速攻で新規管理ユーザー作成&パスワード最強 => adminユーザーを削除しました。
んで、次に
これで良し。ってなりました。
とりあえず、これでいいんじゃないか? ということになりました。
だがしかし。。。
対応したその翌日。。。朝ファイルを確認してみたらまたやられていた!!!!
なぜだぁ!!!!!! おかしなファイルは全部消して、WordPressも全部綺麗にしたじゃないかぁ!
どうして? (´;ω;`)ブワッ
うーむと悩んでいたところ。「まさか、、、ファイルが改ざんされているのでは?」と、ちょっと気になって、下記コードを書いてみて実行してみました。
<?php $command = 'grep -E "(eval\(|base64_decode\(|error_reporting\(0\);|urldecode\(|chr\(|\$GLOBALS)" -r wp/'; $output = array(); $ret = null; exec($command, $output, $ret); file_put_contents('grep.txt', print_r($output, true));
最初のls.phpと違うのは、grepでファイルの中身を検索している点です。
今回難読化されたコードを読んでいて気づいたのは、eval()やらbase64_decodeをうまく利用している点でした。
なので、これで全ファイルを検索してみたらわかるかなと思い実行してみると。。。
Array
(
// ... 省略
[0] wp-admin/export.php => $GLOBALS['asf823ik'];global$sdadsf;$xiasd82=$GLOBALS;${"\x47\x4c\x53"} /* このあとコードがすげえいっぱい */
// ... 省略
)
きゃぁー!!!キモい!!グロい!!!
なんじゃこりゃ。改ざんされているじゃん。 アップデートは? どうしてうまくいかなかったの・・・?
さらにgrepで引っかからないコードもありました。これはちょっと巧妙というか。。。そもそもそれ自体も難読化されているでキツイ
php -r "echo 'eva'.chr(108).PHP_EOL;" eval
↑みたいな感じで、chr()関数でASCIIを数値で保存しておいて、それを変換して攻撃するなんてコードもありました。大変や。。。
なんかもう、ここまでされると「ご苦労様です(`・ω・´)ゞ」って気持ちになってきた。
さて、話戻しますと、どうやらアップデートは変更がないphpファイルは上書きしないっぽいですね。。。
また、私も先ほどあげた対策のなかで、wp cliを使ってのdiffを実行していませんでした。最新のWordPressと差分はないかチェックするのをしていなかったのです。
なので、
という流れに(´;ω;`)ブワッ
くっそと思いながらも、今度はちゃんと差分をとって、攻撃ファイルを排除しました。。。。(というかWordPress自体を入れ替えた)
また、注意する点が。実はthemeのファイルもやられていました。
しかし、仕事上、趣味でもそうですが、themeはオリジナルがほとんどだと思うので、やられていても気づきにくいし、検知も難しいかなと思います。
私の場合はすべて目で確認しました。幸いファイル数が少なかったので、そんなに時間はかからなかったです。
wp-content/{uploads,themes}以外は全部削除して、最新のコードをgithubから取ってきてそれに差し替えwp-content/plugins/をもっかい最新に最初よりは対応が少ないですが、まぁ良いでしょう。。。
それから毎日アクセスログとファイルを検索してみていますが、やられていないですね。。。いまのところ。
恐らく根本な原因はログインパスワードが「admin」「password」だったからでしょうね。。。(´Д`;
辞書攻撃一発でやられると思うので、次回からそうしないように周知しておきます。。。
ハァ疲れた。
ぐらいかなぁ。。。
仕事中に書いてみたけど、なんか違う気がしてきた。。。
下層ページかどうか判断する関数が欲しかった。
自分で考えたフローとしては
WordPressのfunctions.phpに追記したら使えるど。
<?php /** * 下層ページか判断する * @return bool */ function isUnderPage() { $url = (empty($_SERVER["HTTPS"]) ? "http://" : "https://") . $_SERVER["HTTP_HOST"] . $_SERVER["REQUEST_URI"]; $getPath = parse_url($url, PHP_URL_PATH); $query = parse_url($url, PHP_URL_QUERY); // wordpressのwebrootを作成 $getWordpressPath =parse_url(home_url(), PHP_URL_PATH); // wordpressのwebrootで現在の$pathを置換 $path = preg_replace("|".preg_quote($getWordpressPath . '/')."|", '', $getPath); // どっちも空であればトップページ if (empty($path) && empty($query)) { return false; } return true; }
parse_url'()でurlを渡してほしい箇所だけ取得することができます。
置換するとき、urlにスラッシュとか入っているとエラーになるので、preg_quote()でエスケープしましょう。自分で正規表現書くよりは楽だし、正確かと。
とりあえずこれででき。。。ぁああああああああああ!!!
そういや、クエリパラメータがついていたら全部下層になるので、これではダメだ。トップページにクエリを渡したい場合は全部下層になっちゃう。。。!
ということは。。。。あれ難しくね? どうやって検索判断する?( ゚д゚)ハッ!
is_search()で検索だったら下層ページクエリパラメータで判断せずに、is_search()で判断すればいいのでは。これでよし。
