あるいはこんばんわ
さて、少し前にワードプレスで作ったサイトが不正アクセスに遭いまして、えらいことになったんです。
サイトは・・
Xサーバーの対応で見れなくなっており、復旧について連絡がきていました。
そのメールには・・
この通り、./cron.php -e0.0.0.0 -p33008 という不正なプロセスが動いているらしい。
Xサーバー側では負荷がかかったのでチェック、それが判明したので動作を止めるように変更した・・ということになります。
合わせて全くノーガードだったセキュリティ対策も実施されてました。
・「WordPressセキュリティ設定」の全機能を有効化
・「WAF設定」の全機能を有効化
ちなみに動作の停止は対象のプログラムファイルのパーミッションを000へ変更し無効化・・となってました。
そして復旧の手順について。
そこはXサーバーさん、手順がしっかりと載ってました。
悩むくらいならその通りにまずはやってみよう・・ということでその手順はこれ。
・まずはPCの状態チェック。
転ばぬ先の杖、ウイルスチェックをします。
そしてシステムの更新がないか確認しあるなら最新版にしておきます。
・修正か初期化のどちらにするか?
・・を考えなければいけません。
初期化というのはまっさらな状態にして作り直すというもの。
バックアップと取っていないと割と大変になるヤツですね。
でも確実な方法と言えましょう。
修正は問題がありそうなファイルを削除して問題がない状態まで戻すことです。
今回は修正でいくこととしました。
これは該当サイト以外にも2つ別ドメインでサイトを作っていて、
基本構造が全く同じだったので。
それらが比較できることで何がダメか?・・がわかるということですね。
余計なものが埋め込まれていたら容量に差が出ますし、
そもそもまだそこまで仕上げていないのでこれでいいか・・と。
てか、そんな薄いサイトを狙わなくても・・と思うわけですが、目的が踏み台ならなんでもいいですもんね。
・原因の考察
今回の原因としては・・
・第三者に不正ログインされた or バグがありそこを突かれた
・サーバーアカウントに関する情報が流出した
のいずれかとされていますが、不審なFTPアクセスはないとのことなので前者なんだろう・・と。
そして割と不正ログインじゃないのかな?・・と思ってます。
パスワード総当り(ブルートフォースアタック)による攻撃だと簡単にいけそうなレベルのパスワードだったという自覚がありますから(笑
なのでそれであろうと仮説を立てて進めていきます。
・ファイルマネージャーから対象ファイルを削除する。
まずはXサーバーのファイルマネージャーに接続。
そして該当ドメインのPublic以下にある・・
7gs4ti7
TAhXMP
abcd-objectives
n6p3t59l
o2pybs
prayer-to
rmup5h2
rubV
rvvzo4
wNWpqz
wp-content/themes/bripfwuash/style.php
x65ce1yoaf8w
index.php
これらの不正プログラムと思われるものを削除します。
注)これらはXサーバーからのメールに記載があったものです。
他に作っているサイトとも比べてみると index.php以外は入れられた物であるということがわかるわけで。
なーるほど。
尚、index.phpは改竄されている可能性があるっぽく対象となっています。
これらをまずは削除するんですが、大事なことはパーミッションが000に変更されているので、そのままでは削除もできません。
なので、それらを変更してから削除することとなります。
で、該当ファイルのパーミッションを順番に「705」等にして削除してくわけです。
問題は「index.php」。
これは削除後にワードプレスのオリジナルのものを元々あった場所にアップロードしてやる必要があります。
これがないと動きませんからね。
これはワードプレスを新たにダウンロードして、その中のindex.phpを使うというのが一般的ですが、
ディレクトリを変更しているのであれば、それを事前に変更しておくことは言うまでもありません。
私は同じ構造のサイトが他に2つあるので、それらの同じ階層にあるindex.phpをダウンロードしてアップロードしました。
で、動作確認するわけです。
・管理パスワードを変更する
動作に問題ないのであれば、「ワードプレス」の管理パスワードを変更しておきます。
とってもとっても簡単だったものから(笑)自分でもわすれそうな奴にしました。
ざっくり書くとこれで復旧完了です。
その後、さらにセキュリティの設定を確認したりする必要はありますが、それは追々やるとして、
ざくっと2時間くらいで復旧完了しました。
そして思うんです。
この対策ってほんとアナログよなぁ・・と。
逆にこれらを突いてくるのもアナログよなぁ・・とか思ったり。
注)考え方として。
そんなわけで、こういうのに遭遇した場合、まずはどうするか?・・となると思いますが、
「まずは落ち着く」ということが大事なんじゃないでしょーか?
しっかしこれ、知見のない人からするとハードルが意外と高いんでしょうね。
本日はここまで。
|
|
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/1944d942.825261aa.1944d943.34ecce69/?me_id=1213310&item_id=19666786&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fbook%2Fcabinet%2F8900%2F9784798058900.jpg%3F_ex%3D240x240&s=240x240&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
欧米気分を味わう方法/ブロガー&フリーモータージャーナリスト/abeo工房(公式)さんはTwitterを使っています
“エックスサーバーを お得に利用開始できる紹介URLを共有します。 以下のURLからのお申込みで、 初回のお支払い料金が最大10,000円OFFになる特典を 受けることができます! https://t.co/am7CKVJk24”
|
|
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3182fe68.60841ab9.3182fe69.4f095336/?me_id=1312177&item_id=12214603&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fgeo-mobile%2Fcabinet%2F5378%2F0675378-01.jpg%3F_ex%3D400x400&s=400x400&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
|
|
![[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]](https://hbb.afl.rakuten.co.jp/hgb/3182fef3.6f2ea102.3182fef4.b4d72015/?me_id=1402415&item_id=10000512&pc=https%3A%2F%2Fthumbnail.image.rakuten.co.jp%2F%400_mall%2Fpocketstore%2Fcabinet%2F08556335%2Fimgrc0086433825.jpg%3F_ex%3D400x400&s=400x400&t=picttext "[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]")
お時間あるときにぜひどうぞ。noteも書いてます。
