調査した結果、管理を委託している先のサーバー上の設定ファイルの一部が平成25年3月3日（日）に何者かにより改ざんされていることが判明しました。

httpd.conf を書き換えられたか。そりゃ、rootを盗られたって意味だろ。これだと、マルウェア感染サイト誘導の踏み台にされただけじゃなく、サーバーからの情報漏洩もあり得るから通信ログ精査しろよ。まぁ、ログを取っているか、ログを分析できるのか、分析した所で対外発表するかは知らないけど。

環境省のサイトは今は Apache のバージョンを伏せているが、時々、バージョンを伏せただけで対策完了、もうバージョンを上げる必要なしと思う情弱もいるから(正々堂々、最新のバージョンだと示せない)環境省のサイトは他も感染しそうでコワいからアクセスは控えた方が賢明だな。

本サイトを閲覧した方は、直ちにお使いのパソコンを最新のウイルス対策ソフトでスキャンしていただくとともに、パソコンのOS、PDF、Java、Flash 関連のソフトウェアに対しては、最新のアップデートを適用し、セキュリティパッチの適用漏れがないようにしていただきますようお願いいたします。

サーバーの脆弱性対策を一切求めない間抜けな業務委託契約を結んでおいて、ヤラれるまで完全放置プレイの挙句、マルウェア作成者と委託先とアクセスしてきた側のセキュリティー対策不足が悪いみたいな言い方で反省ゼロですな。

中津川市のhttp://www.city.nakatsugawa.gifu.jp/ [nakatsugawa.gifu.jp] の方も、化石みたいなバージョンの Apache をヤラれるまで使ってたんですね。10-Apr-2007 から Fedora で Apache/2.0.54 か。凄いな。ん？市公式ホームページを停止し、ご迷惑をおかけしました。 [nakatsugawa.gifu.jp]

サーバのすべてのデータなどをウィルススキャンするなど調査を実施。

うわぁああああ～～～～　サーバーがヤラれてるのにデータなどをウィルススキャンだってぇ～！！　何の調査になってないだろ。全然、判ってないな。この辺を読んで理解する能力が無いらしい。いや、ここでコメントしている若干名も同様だが。

• #OCJP-098: 【警告】 285件日本国内のウェブサイトが「Darkleech Apache Module」に感染されて、IEでアクセスすると「Blackhole」マルウェア感染サイトに転送されてしまいます! [blogspot.jp]
• 注意喚起:古いバージョンのJava,Flash,PDFから感染するマルウェアサイトへの転送が国内の多数のサイトで発見された模様 [zukeran.org]
• Server Compromises - Understanding Apache Module iFrame Injections and Secure Shell Backdoor [sucuri.net]

更なる安全を確保するための対策を実施し、サーバを再構築して再開。

ええと…今は Apache/2.2.2 (Fedora) DAV/2 PHP/5.1.6 か。うわぁああああ～～～～、凄いな。Apache も PHPは2006年のバージョンだ。ていうかバージョンダウンかよ。情弱にも程があろう。(PHP のバックポートとかしてないだろうな。高々テキストのページ表示するのにも PHP が無けりゃ表示できないガチガチの構成になっちゃっててバージョン上げられませんてか) これじゃまたすぐroot盗られるだろ。何も対策していないっぽいな。感染したサーバーを入れ替えたか、Apache のバージョンを下げただけだろう。

ここで替え歌を。「マルウェア探してく～れるの待つの　む～かしのバァジョ～ンでぇ～　出て～えい～いまぁす～～～」 (song by 中津川市ほか多数) ここもアクセス非奨励。

結局、今回のはヤラれて当然の化石バージョン使用のサーバーが軒並みヤラれたに過ぎず、ニュースでも何でもない。Windows PC を6年間、一切セキュリティー対策をしなかったらマルウェア感染しましたというのと一緒。ついでに言うと、中津川市のは「再インストールしたから大丈夫です。サービスパック？パッチ？　何ですかそれ。ウィルススキャンは入れてますよ(キリッ)」というわけだ。