とあるクライアントＡのサイトいれているサーバーが、最近マルウェアを埋め込まれたり改竄されるため、引っ越すことに。

サーバーを直接クライアントＡに提供している会社Ｂに相談したら、他のサーバーを用意してくれるということで、データベースだけ引っ越しておいてもらうことにした（ファイルは感染してたらいやだから、初期に導入したファイルをアップしなおすことに）。
ちなみに会社Ｂはレンタルサーバ会社Ｆからサーバーを借りて、それを提供しているらしい。だから、サーバー自体はＦ会社のサーバ（もうプラン自体は新規提供していない）。

そのあと、うちでＣＭＳ（ＸＯＯＰＳ）のデータを移行。すると、XOOPSが真っ白（よくある表現ですが）。

phpmyadminなどの情報は聞いてなかったから、非常事態対応的にphpmyadminをサーバに入れて、データベースからデバックをonにしてみたら、テンプレートの記述がおかしいというエラーが出る。

<{$category_id}&phpMyAdmin=595………> みたいに。そりゃ、Smartyもエラーになるわ。うんうん。その一か所を直したら、また他の箇所で同じようなSmaryのエラーが出るので、phpmyadminいれちゃったし、ついでに全部エクスポートして、「phpmyadmin=」を検索してみたら、テンプレート以外にも変な記述が複数あることに気づきました。

１．テンプレートに「<{$category_id}&phpMyAdmin=595………>」という記述が追加されいてる。

２．<a href=””>のリンク先の末尾に、「?phpMyAdmin=595………」という記述が追加されいてる。

３．<a href=””>のリンク先が　「？id=2」みたいな記述だったら「？id=2＆phpMyAdmin=595………」という記述が追加されている。

４．<form>タグがあったら、<input type=”hidden” name=”phpMyAdmin” value=”595………” />というコードが追加されている。

怪しすぎる！！！怖い！気持ち悪い！！

自分で、旧サーバにphpmyadminを入れてエクスポートしてみたら、そんな記述はないから、XOOPSのデータか何かに埋め込まれているわけではなさそうです。

新サーバのツール使ってインポートしたときにそうなったとは考えにくいので、おそらく旧サーバで何かのツールでエクスポートしたときにそうなった可能性が高そうです。

今までの経緯でも、ンタルサーバ会社Fが使用している、サーバのコントロールパネル「Parallels Plesk Panel」の脆弱性が怪しそうです。その「Parallels Plesk Panel」のツールを使って、sqlのエクスポートをしたそう。

あとで調べたら「Parallels Plesk Panel」の脆弱性って問題になってました。

旧バージョンの Parallels Plesk Panel の利用に関する注意喚起

ちなみに、「Parallels Plesk Panel」を疑った他のケースは、

変なPHPがインストールされていたので、そのコードを調べたら、下記のサイトがヒットした。

http://forum.parallels.com/showthread.php?286423-Under-Attack&p=685668

「Parallels Plesk Panel」のせいかもね？と思ったのが、５月の頭。

そこからサーバーの引っ越しの作業をお願いしていたら、５月の終わりぐらいに、主要なファイルを<iframe>で別サイトに飛ばすものにすべて書き換えられていました。（index.phpというファイル名や、.htmlファイルが狙われました。フォルダ階層は第２階層まで）

で、引っ越しの準備を進めたら、phpmyadmin= というあやしげなコードを埋め込まれていたと。

phpmyadmin= が埋め込まれているケースに関しては、いろんな検索したけどわからなかったので、記録代わりに記事に書いてみました。