昨日の記事とは別のサーバでの脆弱性乗っ取られ案件です。けっこう深刻な状況になってしまい、もうこのサーバーを諦めて別のサーバに移転しようかというくらいの状況になっています。(サーバはさくらインターネットですが、さくらインターネットが悪いわけではありません)
状況としては、不正なアクセスによる侵入でPHPファイルが汚染されました。該当ファイルは「.htaccess」と「index.php」の2つだけです。しかし、この2つのファイルが自己増殖するため、消しても消してもゾンビのように復活して蘇ってきてしまいます。
サーバーが不正侵入され乗っ取られた事例
不正なファイルは最終的に2つ
▼「index.php」ファイル
▼「.htaccess」ファイル
この2つのファイルは無限増殖します。
そしてこの2つのファイルが不正にファイルを増殖していくようです。
▼埋め込まれた不正ファイルの一例
上記のように埋め込まれた不正ファイルは不正なページを表示します。この不正ファイルはFTPで一括削除ができました。これらの不正ファイルは必ず削除しなければなりません。
しかし、不正ファイルを削除してもゾンビのように復活してきます。
なぜ…。
index.phpが不正な動きをします
問題なのは「index.php」です。
index.phpが動いていると、
<https://独自ドメイン名/index.php>
で不正なページが表示されます。
しかもそのページで表示されたリンクをクリックすると次々にサイト内のページが開きます。
htmlソースの一部を紹介すると…
<h2>食にまつわるコンテンツ</h2>
<ul>
<li><a href=”独自ドメイン名/anq/index.php”>暮らしと食の消費者調査</a></li>
<li><a href=”独自ドメイン名/waza/index.php”>料理の小わざ</a></li>
<li><a href=”独自ドメイン名/tsubo/index.php”>料理のつぼ</a></li>
<li><a href=”独自ドメイン名/jiten/index.php”>なるほど料理用語</a></li>
</ul>
<h2>ベターホームについて</h2>
<ul>
<li><a href=”独自ドメイン名/public/koueki.php”>公益活動について</a></li>
<li><a href=”独自ドメイン名/school/leader/index.html”>リーダー会員について</a></li>
<li><a href=”独自ドメイン名/book/”>ベターホームの料理の本</a></li>
</ul>
というような感じです。
リンク先をクリックすると、あるはずがないページが開きます。そのページからのリンクも次々と開きます。
不要なファイルの削除には効果的な順番があるようです
ゾンビのように何度も復活するファイルですが、不正なファイルを除去したり、不正なファイルが入っているフォルダの属性を「000」に変更しロックしたりしていくと、だんだん活動域が狭まってきました。
もうすでに、サーバ内の他のデータはロックをかけています。すべてのフォルダをFTPで「000」としてありますので、動作できない状況にしてあります。なので、動いているフォルダは上記の「/maintenancenow」というフォルダだけです。
現在は、このフォルダに独自ドメインを表示させていますので、実質的にファイルは3つしかありません。
httpには優先表示のルールがあるので、
index.htmlとindex.phpという2つのファイルがあると、
index.htmlを優先して表示してくれます。
index.htmlの内容は「当サイトはメンテナンス中です」というテキストだけの表示です。
index.phpのほうから削除するとよい
しばらくこの状況にしてから、ファイル削除の順番があることに気づきました。
多数のphp不正ファイルは除去できましたので、すでに不正ファイルは
index.php
.htaccess
の2つしか残っていません。
これまでは、どちらかを削除してもゾンビのように蘇ってきました。
しかし、サーバー内のすべてのフォルダを「000」にして、しばらく時間をおいたことにより、この2つのファイルしか不正な動きをしないことになります。
この状況で
.htaccess
を削除すると
index.php
が復活します。
しかし、
index.php
のほうから削除すると
.htaccess
は復活しないことがわかりました。
そこで、
index.php
を削除してから
.htaccess
をFTPで上書き送信しました。
これでしばらく不正な動きがなくなりました。
上書き送信した.htaccessは
ErrorDocument 404 /
という内容です。 この状況でしばらく様子をみてから、本格的なサーバ内の復旧を検討したいと思います。
この処理については以下のサイトの情報を参考にしました。
WordPressを運用中のサーバがまるごとPHPマルウェアに感染していた時の対応メモ
https://qiita.com/Ayutanalects/items/a359df4e4b445229fcf2
時系列で見る:WordPressを運用中のサーバが丸ごとPHPマルウェアに感染する流れ
https://qiita.com/Ayutanalects/items/e7919afadc7d8394820f
WordPressの不正ログイン対策7つと誤った対策方法について
https://wpmake.jp/contents/security/security/illegality_login/
WordPressがハッキングされ管理画面が「403 Forbidden」エラーでログインできなくなった時にやったこと
https://kosaeru.net/memo/wordpress-forbidden/
この機会にサーバー移転を検討
なんだかケチがついたこともあり、このサーバを使い続けるのはすっきりしません。
そこで、サーバー移転を提案しました。
このレンタルサーバーは、さくらインターネットのスタンダードです。
さくらインターネットのレンタルサーバーは、同じ会員IDで複数のサーバー契約ができます。ドメイン管理もデータ管理も同じ会員IDで処理できるので容易で便利です。
あらたに「プレミアム」を契約して、そのプレミアムのほうで、データを復旧させて環境を再構築しようということです。
さくらのレンタルサーバ一覧
https://rs.sakura.ad.jp/
この方法にはいくつかのメリットがあります。
・ケチがついたサーバから物理的にさよならできる
・プレミアムはスタンダードより格段に早い
・コンテンツブーストという機能が無料で使える
→WordPressを運用するなら表示速度が早くなります
もともと表示速度が遅いという問題もありましたので、この方法がベターではないかと思います。
この記事を書いた遠田幹雄は中小企業診断士です
遠田幹雄は経営コンサルティング企業の株式会社ドモドモコーポレーション代表取締役。石川県かほく市に本社があり金沢市を中心とした北陸三県を主な活動エリアとする経営コンサルタントです。
小規模事業者や中小企業を対象として、経営戦略立案とその後の実行支援、商品開発、販路拡大、マーケティング、ブランド構築等に係る総合的なコンサルティング活動を展開しています。実際にはWEBマーケティングやIT系のご依頼が多いです。
民民での直接契約を中心としていますが、商工三団体などの支援機関が主催するセミナー講師を年間数十回担当したり、支援機関の専門家派遣や中小企業基盤整備機構の経営窓口相談に対応したりもしています。
保有資格:中小企業診断士、情報処理技術者など
会社概要およびプロフィールは株式会社ドモドモコーポレーションの会社案内にて紹介していますので興味ある方はご覧ください。
お問い合わせは電話ではなくお問い合わせフォームからメールにておねがいします。新規の電話番号からの電話は受信しないことにしていますのでご了承ください。
【反応していただけると喜びます(笑)】
記事内容が役にたったとか共感したとかで、なにか反応をしたいという場合はTwitterやフェイスブックなどのSNSで反応いただけるとうれしいです。
遠田幹雄が利用しているSNSは以下のとおりです。
facebook https://www.facebook.com/tohdamikio
ツイッター https://twitter.com/tohdamikio
LINE https://lin.ee/igN7saM
チャットワーク https://www.chatwork.com/tohda
また、投げ銭システムも用意しましたのでお気持ちがあればクレジット決済などでもお支払いいただけます。
※投げ銭はデジタルコンテンツ購入という通販のしくみにしました。
※投げ銭は100円からOKです。シャレですので笑ってください(笑)
