攻撃者が採用した「.htaccess」を改ざんして、任意の拡張子でPHPを実行する方法

みなさん、こんにちは。m（@the_art_of_nerd）です。 今回は私がWebサーバーをフォレンジック調査を担当した際に発見した、任意の拡張子からPHPを実行する方法について紹介します。 背景 Webサーバーが攻撃者によって侵害されたという事案で、フォレンジック調査を実施した際に発見したテクニックです。（正規の仕様を悪用） Webサーバーの侵害のため、WebShellの設置を疑い、まず拡張子ベースで不審なファイル（改ざん・作成）が存在しないか調査していたところ、いくつか不審なファイルは発見されましたが、どうしてもWebShellのような機能を有するファイルだけ見つかりませんでした。 そこで、拡張子で見ていく調査から各ディレクトリごとに気になるファイルが存在しないかの調査に切り替えたところ、1つだけ明らかにWebサーバーのコンテンツとして違和感のある"ファイル名"が付けられたCSSファ

[xlc]

眉唾。.htaccessを改ざん可能ならそもそも全てのファイルが改ざん可能だろうに。むしろ内部犯行を疑った方がよい。

[s_rsak]

サーバーに侵入されてる時点でアウトだからなあ。.htaccessの有効化は普通だと思う。

[kijtra]

サーバーに入らなくても、WordPress なんかはプラグイン経由で htaccess 書き換えたりできるからなあ。

[prograti]

Kali Linuxにも収録されてますが.htaccessを利用したWebShellのコレクション → https://github.com/wireghoul/htshells / 改ざんしなくてもアプリのアップロード機能＋サーバーの設定不備などで攻撃できたりしますね

[strawberryhunter]

脆弱なまま生かしておいてお金になる情報を抜き続ける犯罪かな。WordPressは本体やメジャーなプラグインでも未だに脆弱性が見つかるので、本当に余計なものを入れない方が良い。

[fut573]

ドキュメントルートより上をやられてないならば、変なスクリプト踏んでそう。数年前mtがXMLRPC脆弱性発覚した時期は各社軒並みやられていた印象。

[kzm1760]

あーMIMEタイプ変更なんてやっちゃうのかぁ。昔あったのだと、CMSのフォームの脆弱性突いて、画像をアップロードしてるが実態はPHPでWebShell実行されてたことはあったな。。

[lycolia]

MIMEタイプを変更してCSSファイルをPHPとして実行させるバックドア（別にファイル形式は何でもいいがCSSだと画面によく組み込まれているため都合がいい）

[miau]

古典的なセキュリティホールがこういう扱いになっててなんか新鮮。手元の書籍をてきとうに検索すると『CGIのための実践入門Perl』(1998年) に .htaccess で .html を SSI に紐付けられたりするから設定に注意、って記述があった

[nicht-sein]

そもそもどうやって.htaccess改竄するの？って思ったら、WordPressなんかのエクステンションか。なるほど……

[okuden]

“て見落とされやすくなるめ、WebShellの秘匿性を高めることができます。”

[dollarss]

賢いというか、そうか出来ちゃうんだな。という納得感と、気をつけないとな。がないまぜになった感覚

[hogetax]

「.htaccess」が改変された時点で完全再インストール決定だろ。侵入経路でもないし調査意義は無いよ...いや、おれのコレクションとしては価値があるなｗ

[Shinwiki]

“攻撃者はターゲットサーバーに進入後” w

[toaruR]

多分他の穴も残ってる。偽装された復活スクリプトをgoogle botに踏ませるとかで、htaccessもちょっとしたら復活してたり（´－｀）サーバごと再構築しないと不安が消えないやつ

[key_llow]

不正コード発見を遅らせるテクニックの話だから、ディレクトリ下まるごとmd5sum取って毎日比較するレベルの超～古臭い改ざん検知でも一応役に立つ。ログ整理やメーラーみたいな名前に偽装しておくと吉

[red_kawa5373]

昔、html拡張子をphpとして解釈させて実行させるテクニックが本とかに載ってたな。まだCMSとかの言葉が出てきだした時代（サイト全体をphpで作るが、閲覧者には普通のhtmlサイトっぽく見せたいって時）