#OCJP-082： 沢山日本のCMSサイトが「ITSOKNOPROBLEMOBRO」のDDoSツールに感染されました！原因：CMSの脆弱性

下記のCMSサイトのホスト名↓

kato.plala.jp                         
www.group1.jp              
android.turbosystems.co.jp 
suzaka.biz                 
ryokun.nows.jp             
kiwara.sub.jp              
senshu-micronics.co.jp     
faq.iliics.com             
www.primetimefuture.com    
ltd-kobayashi.sakura.ne.jp 

下記のIPとCN(国）↓

223.219.33.252   | JP 
223.219.33.252   | JP 
202.218.164.174  | JP 
49.212.191.134   | JP 
59.106.157.194   | JP 
59.106.157.197   | JP 
210.172.144.21   | JP 
114.179.231.28   | JP 
202.122.143.70   | JP 
202.172.28.141   | JP 
219.94.128.168   | JP 

ITSOKNOPROBLEMOBRO (It's OK No Problemo Bro)のDDoSツールのスクリプトを発見！
リファレンス1：“itsoknoproblembro” DDoS Toolkit Was Used in Recent Debilitating Cyber Attacks
リファレンス2：VRT/Snortサイトの警告
リファレンス3：RADWAREセキュリティサイトの警告

海外のサイトには本件の感染も流行ったが、殆ど手続きされましたので、
現在は少ししか残っていません、証拠はurlqueryの結果↓
http://urlquery.net/search.php?q=confgic.php&type=string&start=2012-12-04&end=2012-12-19&max=50

マルウェア/DDoSツールの説明↓
pastebin(テキストID:5WMqPsNr)にマルウェアのコードを発見しましたので、
下記のsナップショットと説明となります↓
（※クリックで拡大）


日本国内サイトの感染されたURLパス↓

kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php
kato.plala.jp/joomla2/administrator/templates/bluestork/confgic.php
www.group1.jp/partners/administrator/templates/bluestork/confgic.php
android.turbosystems.co.jp/administrator/templates/bluestork/confgic.php
suzaka.biz/administrator/templates/bluestork/confgic.php
ryokun.nows.jp/administrator/templates/bluestork/confgic.php
kiwara.sub.jp/hougen/administrator/templates/bluestork/confgic.php
senshu-micronics.co.jp/administrator/templates/bluestork/confgic.php
faq.iliics.com/confgic.php
www.primetimefuture.com/templates/atomic/confgic.php
ltd-kobayashi.sakura.ne.jp/administrator/templates/bluestork/confgic.php

証拠↓
上記のURLを直接にアクセスするとにせ「404」メッセージが出ます、例↓

$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php
＜!DOCTYPE HTML PUBLIC"-//IETF//DTDHTML 2.0//EN"＞＜html＞＜head＞＜title＞404 Not Found
＜/title＞＜/head＞＜body＞＜h1＞Not Found＜/h1＞＜p＞The requested URL /joomla2/administrator/templates/bluestork/inedx.php was not found on this server ＜/p＞
＜p＞Additionally, a 404 Not Foun derror was encountered while trying to use an Error Document to handle the request＜/p＞＜/body ＞＜/html ＞

それと↓

$ curl hxxp://www.group1.jp/partners/administrator/templates/bluestork/confgic.php
＜!DOCTYPE HTML PUBLIC"-//IETF//DTDHTML 2.0//EN"＞＜html＞＜head＞＜title＞404 Not Found
＜/title＞＜/head＞＜body＞＜h1＞Not Found＜/h1＞＜p＞The requested URL /partners/administrator/templates/bluestork/confgic.php was not found on this server ＜/p＞
＜p＞Additionally, a 404 Not Foun derror was encountered while trying to use an Error Document to handle the request＜/p＞＜/body ＞＜/html ＞
：
など…

上記の残りページは全て同じ反応が出ます…

…が…　「?action=status」コマンドを最後のURLに入れると「That is good」又は
「itsoknoproblembro」の単語が出てきました。証拠は↓

$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/inedx.php?action=status
That is good

$ curl hxxp://kato.plala.jp/joomla2/administrator/templates/bluestork/confgic.php?action=status
That is good

curl hxxp://www.group1.jp/partners/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://android.turbosystems.co.jp/administrator/templates/bluestork/confgic.php?action=status
That is good //←対応済み

$ curl hxxp://suzaka.biz/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://ryokun.nows.jp/administrator/templates/bluestork/confgic.php?action=status
That is good

]$ curl hxxp://kiwara.sub.jp/hougen/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://senshu-micronics.co.jp/administrator/templates/bluestork/confgic.php?action=status
That is good

$ curl hxxp://faq.iliics.com/confgic.php?action=status
That is good

$ curl hxxp://www.primetimefuture.com/templates/atomic/confgic.php?action=status
That is good

$ curl hxxp://ltd-kobayashi.sakura.ne.jp/administrator/templates/bluestork/confgic.php?action=status
That is good //←対応済み

ウイルス検知率調査↓
ウイルストータルのスキャン結果は下記となります。

SHA1:           fb74239f1fdfa33a902854d3e14622e71d805245
MD5:            9ebab9f37f2b17529ccbcdf9209891be
File size:      3.2 KB ( 3327 bytes )
File name:      PHP_DDoS.html / malcode-NOPROBLEMO-BRO.php
File type:      PHP
Tags:           php
Detection ratio: 9 / 44
URL:            【クリック】
マルウェア名前↓
GData                    : PHP:Agent-GZ
Norman                   : Agent.KG
McAfee-GW-Edition        : PHP/Prob
TrendMicro-HouseCall     : TROJ_GEN.F47V1005
Avast                    : PHP:Agent-GZ [Trj]
ClamAV                   : PHP.Trojan.itsoknoproblembro
ESET-NOD32               : PHP/Obfuscated.F
McAfee                   : PHP/Prob
Ikarus                   : PHP.Agent
Fortinet                 : W32/PhpDos.A!tr
Sophos                   : Troj/PhpDos-A
AhnLab-V3                : PHP/Prob

↑上記は”パスワード漏れた”の問題では無く、原因は１００％脆弱性が持っているJoomla!と
Wordpressサイトです。何故か１００％が分かるかというとCNCは脆弱性があるサイトを
調べたとの証拠があります。

なので、上記のハッキングされたファイルを削除して、脆弱性を直して下さい。