Sucuriは6月28日(米国時間)、「How to Find & Clean Up the AnonymousFox Hack」において、AnonymousFoxに感染したWebサイトのクリーンアップおよび保護対策について伝えた。
AnonymousFoxはサイバー犯罪者が標的としたWebサイトを悪用するために開発された自動化されたツール群。ターゲットの特定、脆弱なアクセスポイントの悪用、侵害された環境の再感染、Webサイトからの除去がより困難になるためのツールなど多くの悪意のある機能が提供されている。
AnonymousFoxは一般的なCMS (Content Management System)プラットフォームやホスティングソフトウェアに存在する既知の脆弱性や安全でない初期設定を標的として設計されている。Webサイトの構築に使われるWordPress、Joomla、Opencart、DrupalといったCMSが主な攻撃対象とされている。
SucuriはAnonymousFoxに感染された場合のクリーンアップ作業を紹介している。推奨されているクリーンアップは次のとおり。
- cPanel・WebHost Managerへのアクセスを確認し、連絡先の電子メールをリセット
- なじみのないまたは未使用のプラグイン、テーマ、およびその他の拡張可能なコンポーネントの削除
- 認識のないシンボリックリンクを確認し安全に削除、シンボリックリンク保護がまだ有効になっていない場合は有効に設定(ホスティングプロバイダに確認の必要あり)
- データベース内の疑わしい管理者アカウントの削除、ユーザー名とパスワードの更新
- 認識のない電子メールアカウントの確認および削除
- 偽の.htaccessファイルを検索して環境から削除
- 悪意のあるプロセス生成の中止
- 悪意のあるcronジョブの確認および削除
AnonymousFoxからWebサイトを保護する方法も説明されている。保護対策は次のとおり。
- 管理パネルへのアクセスの保護および制限
- コアCMS、プラグイン、テーマ、Apache、PHP、WHM・cPanel、その他の拡張可能なコンポーネントなどすべてのソフトウェアを最新の状態に保つ
- 未使用のソフトウェアとコンポーネントの削除、作成するエントリポイントを減らす
- 安全なパスワードと多要素認証の使用
- サイト間の汚染を防ぐために、Webサイトを分離させる
- Webサイトの自動バックアップスケジュールを作成し設定
- Webアプリファイアウォールによるブルートフォース攻撃のブロック、既知の脆弱性に対してパッチを適用し、分散型サービス拒否攻撃(DDoS: Distributed Denial of Service attack)を軽減させる
WordPressなどのCMSプラットフォームによって構築されたWebサイトは広く利用されており、サイバー犯罪者の標的にされやすい。Webサイト管理者はSucuriが紹介した保護対策を適用するなどしてAnonymousFoxなどのマルウェアへの対策を実施しておくことが推奨される。