自分の周りでWordPressを運営されている方がハッキングされてしまいました。
サイトの中に侵入されたという事例は自分の中では初めてだったので、その手口などを知ってかなり驚いています。
あとで詳しく書きますが見に覚えのないプラグイン付けられるとか怖すぎるだろ。。。。
そしていきなりサイトが表示出来なくなるなど、色々災難だったようで、自分も出来る限りのサポートをさせて貰いました。
今回ハッキングが起こったのは知人が試験的に動かしていた、まだアクセスもほとんどない新規サイトです。
しかしそこが侵入元となり、問題は知人が運営する全てのサイトにまで波及しました。
「ハッキングに遭ったサイト以外も影響を受ける」という事実がかなり恐ろしかったので、こういう被害が他の所にも及ばないように記事をまとめてみようと考えています。
他サイトまで影響を及ぼしたハッキング事例
TheDigitalArtist / Pixabayこの事例についてを時系列ごとにまとめてみようかと。
今回この問題に遭った方は、名前と該当のサイトは出さないのを条件とした上で、メールの内容等を共有してもらうなどし、他の方にも今回の問題をシェアしてあげてくれとお話頂けたので、書ける範囲で書いていこうと思います。
【1月4日】突然のパスワード変更通知&「500 Internal Server Error」
まず年明けにいきなり突然パスワード変更通知が来たとのこと。
そしてサイトを見てみると、ページが全く表示されない。
エラーコードは500で、主にサーバー関係に問題が生じている可能性があることを知ります。
そこでふと自分は「これってサーバーに関する内容だよね?てことは同じサーバーで他に動かしてるサイトとか無い?」というような内容を聞いた所、メインで動かしているサイトも同じサーバーで運営していたとのこと。
嫌な予感がし、即座にそのメインで動かしているサイトも確認したところ、同様に500 Internal Server Errorが生じており、内部を確認することが出来なくなっていました。
これはマズイ。めちゃめちゃマズい。
テスト用のサイトで作ってたアカウントでの被害じゃなくて、メインの仕事で使ってるサイトにまで影響を及ぼしてる。
これは売り上げに直結する問題なので、自分もサイトやサーバー周りの分析を手伝い、サーバーを借りてたエックスサーバー社にコンタクトを取ってもらいつつ原因の究明を急ぎました。
なかがわがこの時点で気付いたこと
サイトの画面表示は出来なくなっていたので、サーバーの中身をチェックさせてもらったんですけど、その時に「使用容量がマックスになってた」ってのが物凄い気になっていました。
WordPressでブログを運営したことがある方ならご存知かと思うんですけど、そんなにアクセスがあるわけじゃない新規サイトの容量がマックスになるなんて明らかにおかしい話なのです。なのに残り容量が0で、全ての容量をパンパンに使っていました。
「なるほど、これが原因でサーバーの容量を食ってたから、500エラーが出てたのか…」
とは思い、状況を知人に報告したのですが、問題は現時点ではその大容量ファイルがどこにあるのか分からない。
エックスサーバー社からの返事待ちなのもあったので、ひとまずエックスサーバー社の連絡が来るまではその他の原因が無いか探している状況でした。
【1月5日】エックスサーバー社からの回答が来るも…
数日後、エックスサーバー社からも連絡がありました。
そこに書かれていた内容は自分が気付いたポイントとほとんど変わらない内容。
そして、その項目を削除することで改善されるだろうというものでした。
と、ちょっとガッカリした気持ちは正直あったのですが、、、
文末に「その他ご不明な点などございましたら、お気軽にお問い合わせください。」
という文章があったので、マジでお気軽に問い合わせてみることにしました。
伺った内容を箇条書きにすると以下の通り
・該当の膨大なファイルがどれなのか
・「いつ」「どのドメイン上で」膨大なファイルのアップロードされたのか
・そもそも上記2点を調べて頂くことは可能であるか?ということ。
特に1つ目の内容が特定出来たら、正直な話一瞬で問題が解決されると思っていたのですが、まぁそこまでは対応してくれないだろうという気持ちもあって「やってくれたらいいなぁ」という願望も込みで送信してみることにしました。
【1月7日】エックスサーバーの回答、そして新たな問題が…。
以下共有してもらった内容の引用(URL、時間帯等は特定を防ぐため伏せたり、ぼかして編集しています)
お忙しい中ご返信いただき、ありがとうございます。
可能な範囲で状況を確認いたしますと、下記のディレクトリへ
大容量のファイルが複数設置されているようでございます。> 〇〇.com/public_html/Server/M_Files
設置された各ファイルのタイムスタンプは「●月●日 午前×時×分頃」と
「1月4日 午前◇時◇分頃(早朝)」の2通りですが、それぞれ設置されたお心当たりは
ございますでしょうか。また、例えばWordPress側でバックアップ系のプラグイン等を
ご利用でしたら、プラグインの影響で設置された可能性もございます。当該のディレクトリへFTP操作が行われた履歴は直近で見当たりませんが、
お心当たりにつきましても、今一度ご確認いただければと存じます。なお、大容量のファイルを削除し空き容量を確保していただくことで
ディスク容量に起因した500エラーは改善し、正しくアクセスが可能と
なります。ただ、全くお心当たりが無い場合は『不正アクセス』の被害に遭われて
いる可能性もございますので、当サポートでそのような痕跡が無いかを
調査することも可能でございます。仮に不正アクセスの可能性が高い場合、緊急的な措置といたしまして
Webサイトへのアクセスを制限する運びとなりますが、その点ご同意
いただけます場合は、そのようにご返信いただければと存じます。何かご不明な点がございましたら、お気軽にお問い合わせください。
何卒、よろしくお願い申し上げます。
マ、マジか…。マジでファイルを特定してくれた。。
しかも1月4日ってまさに500エラーが出たことが気になり始めた時間帯だったような…。
やっぱりこの段階でアップされた大容量ファイルが問題だったのね…。
じゃあこれらを削除すれば物事は全て解決されるんじゃないか?
とも思ったのですが、
・そもそもなぜこんなファイルが突然UPされたのか?
・そしてなぜいきなりパスワードが変更されたのか?
この2点が何も解決していないことに気づきました。
仮に不正アクセスだったとしたらなぜサーバーを表示させない500エラーにした?
単純に愉快犯の仕業か? それにしてもパスワード変更の内容と大容量ファイルのアップロードの関連性は?
むしろ何か他に意図があるのでは??など、色々と不明点が出てきます。
その瞬間にハッとして、他のファイルについても調べることにしました。
1月4日早朝にアップロードされたものがあるとしたら、おそらくその辺りの時間帯に何か問題があるかもしれない。
そう思いながらサーバーでアップロードされたものを確認してみると明らかに不自然なプラグインを見つけます。
名前は「sploit」。見たことも聞いたこともないプラグインでした。
気になってググって調べてみたけどそれっぽい情報が何も出てこない。。
そしてファイルがアップロードされている時間帯が1月4日早朝…。
これは怪しすぎる…。
個人的にはもうウィルス的な何かだろうというという気持ちだったのですが、知人にいきなりこの件を話すのはちょっとショックを与えてしまうかもしれない。
この時点で出来ることは二次被害を防ぐことだけだとも思ったため、事実だと判明した段階で伝えようと思っていました。
しかし自分としても、単純にサーバーから大容量ファイルを削除してこのままこのサイトを動かせるようになったとしても、サイトからウィルスをばら撒くだけになる可能性もあるため、手直しの方法に行き詰まりを感じていました。
この時点で行ったことは、知人に「不正アクセスだと思うから、エックスサーバー社にアクセスの制限をかけてもらって、時間をかけて究明したほうがいい」ということ、
それから「不正アクセスの痕跡を調べるサポートを絶対に活用したほうがいい」ということです。
自分の中ではここでエックスサーバー社もプラグインの取り付けに関しては気付くだろうという読みもあったので、ひとまず調査結果を待つことにしました。
【1月8日】調査結果が出る。するとやはり例の内容が…
お客様からの調査のご依頼を受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。▼サポートにて実施した制限内容
——————————————————-
・当該ドメイン名に対する緊急的なWebアクセス制限を実施※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━お客様の上記サーバーアカウントにおいて
以下の不正なファイル(ウイルス、マルウェアなど)が検出されました。[検出された不正なファイル]
————————————————————
/〇〇.com/public_html/wp-content/plugins/sploit/anon.php
————————————————————検出された不正なファイルは
不正に設置または改ざんされている可能性が高くございます。なお、不正アクセスの根本原因は下記2つのパターンに大別されます。
▼不正アクセスの根本原因
————————————————————
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。→該当プログラムが「どんなコマンドでも実行可能」である場合、
該当プログラムを経由して不正なコマンドの実行や、
不正なファイルの設置が行えてしまいます。(2)お客様のサーバーアカウントに関するFTP情報が流出し、
第三者に不正にFTP接続をされた。→FTP操作自体によるファイル改ざんはもとより、
任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
————————————————————お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordpressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。
まず、身に覚えの全くなかったsploitはやっぱりウイルスだったのか…という感想がデカイ。
そして大容量ファイルを勝手に削除してしまうことで、500エラーも解除されsploitが動くようになり、ウィルスが撒き散らされる仕組みになっていたのだろうことを知り、個人的にはとんでもないなと衝撃を受けていました。
やっぱりこういう時は複数の目線を参考にしつつ慎重に動くのが一番。
あの時独断で大容量ファイルを削除していたらとんでもないことになっていただろうと思うと、不幸中の幸いかなとは感じていました。
原因が分かってから動いたこと
その後の流れとしては、エックスサーバーからの提案があり、まずはドメインの中に入っているものを初期化をして、一緒にまた新しくサイトを作っていきました。
作りたてで早期に復旧できるサイトだった、というのもあったのですが、既に完成されたサイトだったらと思うとゾッとしますね。。。やっぱセキュリティって大事だわ…。
ひとまずセキュリティを強化するために、今以上にパスワードの文字列などを強化したり、IDを隠すプラグインなどを利用して、ログインページにいくつかの仕掛けなどをして対策をしていきました。
今後の対策と思ったこと
weinstock / Pixabayまず、エックスサーバー社のサポートが凄いということは1番強く思ったことです。
該当のファイルの特定までしてもらえるなんて思わず、かなり早期に問題の解決が出来ました。
さすがレンタルサーバーの老舗。色んなサーバーがあるけど、ここまでサービスが手厚いとは…。
ますますエックスサーバーが好きになりました。
それからやはり、各々がセキュリティに対して確りとした意識を持つことも重要です。
IDとパスワードを一緒にしたり、簡易的なものにすると、いつか足元すくわれます。
パスワードに関しては色んなところで注意喚起されてますが、「自分は大丈夫」と思わないことが初めの一歩なのではないでしょうか。
