QA@IT

ウェブサイトのファイルの不正改ざんについて

2366 PV

ウェブサイトを運用中のサーバでファイルの不正改ざんがあった場合、
このファイルがどういった経緯で作成されたのかを追跡する方法はあるのでしょうか?

-rw-r--r-- 1 apache apache    7  1月 29 07:39 app.php

ユーザーとグループが apache となっているのでプログラムのセキュリティ・ホールやバグを利用して作成されたものと考えられますが、Apache のアクセスログ、エラーログからは該当するような痕跡を見当つけることができませんでした。

自分の管理外のプログラムのため、現在ある判断材料は上記のファイル情報のみです。
プログラムのソースコードを全てチェックして該当部分を修正することは難しい状況です。

プログラム経由以外での改ざんも考えられます、
ひとまずはこの材料で、皆さんならどのような判断をされるか参考にしたく質問いたしました。

Webサーバは

  • Apache/2.2.3
  • PHP 5.2.10
  • PHPのフレームワーク(ある会社が開発したマイナーなもの)

また不正改ざんの検知プログラムでオススメのものがありましたら教えていただけるとありがたいです。

追記

DocumentRoot /home/[some user]/www

改ざんされていたファイルのパス

/home/[some user]/www/privacy/app.php

PHPのプレームワークはある会社が独自開発したもの。現在は会社の倒産しているためドキュメントなどはない状態です。

  • 絶対パス、PHPフレームワークの名称をだしたほうが答えでんよ。 -
  • アドバイスありがとうございます。
    DocumentRoot は/home/[some user]/www/ で
    改ざんがあったパスは /home/[some user]/www/privacy/app.php でした。
    フレームワークはある会社が独自で作成したもので、現在はその会社も倒産しドキュメントすら残っていない状況なので、あえて書きませんでした。

    -
  • CMS・・。自分所持のものは実行権をいくらでも変更できるからプログラムを実行ユーザーにもたしちゃあかんよ。また php ファイル等の実行ファイルもアップロードさせちゃだめ -
  • アドバイスありがとうございます。予防策として適切なパーミッションを設定せよということですね。 -
ウォッチ

この質問への回答やコメントをメールでお知らせします。