昨日、当サイトの掲示板がハッキングされた件ですが、以下の事態が発生したようです。
- vBulletin(当サイトが使用している掲示板)の該当バージョンの持つ致命的脆弱性をついて、
海外ハッカーが愉快犯的に行った行為のようです。
(具体的にはSQLをget引数に渡すと、そのまま実行されてしまう状況がある致命的脆弱性)
- 犯人は、当サイトの内部権限を奪っておらず、又、サーバー内部ではなく、外部から攻撃をしかけてきたものです。
具体的には上記の脆弱性を突き、HTTPで掲示板に対し引数としてSQLを発行し、
(1)管理人情報、
(2)FORUMトップのテンプレート、
(3)メールアドレス2点
の情報を書き換えた模様です。
原因の元となるスクリプトに修正をほどこしたため、別の穴をつかれない限りは、
とりあえずこれで大丈夫だと思います。
ご迷惑をおかけしまして、すみませんでした。m(_ _)m
表示されていたページはジャバスクリプトで不気味な音楽を鳴らすものにすぎず、
特に危険性はないようです。
なお、ほぼ全面的に元通りにもどりましたが、アバター画像など、添付画像ファイル等については消滅してしまいました。
(SQLをテキスト編集した際、誤動作の原因となるバイナリ情報を排除したため)
又、カウンタの誤作動が頻発している問題につきましては、
管理人が制作したプログラムの問題です。
改善をほどこし、表示は安定し始めております。
とりあえず、まぁすごい体験となりました。
103130764 
018922 
017218
