トラブル復旧事例
とある制作会社様からハッキングによりサイトが改ざんされ、リダイレクト発生。
管理画面にログイン出来ない。との連絡を受け調査対応を行いました。
以下の内容は、対応当時のものです。
Contents
サイトのタイトルが全く違うものに書き換えられる
こちらはとあるコーポレートサイトを自社名で検索したショット。
ドメインはそのままに、サイトのタイトルが全く関係ない車のパーツ販売になっており、
アクセスするとフィッシングサイトに転送される状態。
更に管理画面にアクセスしようとするとエラーになって管理画面にすら入れない状態。
このままだと会社の評判と検索の評価も落ちてしまうので早急な対策が必要な状態です。
制作されたのは結構大きな制作会社さんだったのですが、デザイナーさんが主体の会社で
このような乗っ取りの経験がなく、サーバー会社のサポートも無いとのことでご相談がありました。
FTPでファイルの変更がないかを確認
このような場合、まずはFTPからファイルの変更がないかを確認します。
public_htmlディレクトリをメインに見ていきます。
わかったこと
・htaccessが書き換えられている
・about.phpやsidwso.phpなど標準のWORDPRESSにはないファイルが追加されている
・一部のファイルのパーミッションが書き換えられている
・index.phpの容量が正常なファイルに比べて異常に大きい
・wp-admin内のファイルが一部書き換えられている
・wp-content/puguinディレクトリ内にも同様に不審なファイルがある
結構重症ですね。
難読化されたコードはハッキングサイトに共通の現象
サイトを開くと一番最初に読み込まれるindex.phpの中身がこちら。
ファイルの先頭部分が全て書き換えられ難読化されたコードが追加されていました。
これはプログラムの中身が分からないように隠蔽するウイルスやハッキングサイトに共通の現象です。
md5などで暗号化されている場合もあるので、このウイルスの動きを解読するのは至難の業。
乗っ取りや改ざんトラブルの原因
これはサイトの脆弱性を突いたサイト乗っ取り型の自動プログラム(ウイルス)です。
サーバーログを解析するとある日時にサイトに任意のファイルを埋め込まれ、
フィッシングを目的としたファイルのアップロード、複数のバックドアの追加、
スパムメール送信、スパムサイトへの誘導などが行われた形跡がありました。
更に不幸なのは同じサーバーに収容してあった他のドメインのWORDPRESSサイトも同じ被害を受けていた事。
レンタルサーバーで複数のサイトを運営するのはこのような際にリスキーです。
原因としては
・一番大きいのがPHPのバージョンが古い5.6であったこと。
・WORDPRESSの更新がされていなかった事。
・プラグインが更新されておらず古くなっていた事。
・未使用の古いプラグインとテーマが削除されずに放置してあった事。
・サーバーのセキュリティ対策がほぼ未実施であった事。
見た限りでは脆弱性のお手本のようなサイトでした。でも結構多いんですよね。こういったサイト。
サーバーのセキュリティ対策とはサーバーパネルで行う設定と、サーバー設定ファイルである.htaccessに
追記して行う方法があります。この辺は一般の方やデザイナーさんには難しい部分もあると思います。
対応 ゾンビプロセスに手こずる
データベースやアップロード領域のデータは無事でしたので、WORDPRESSやプラグインファイルを
全て入れ替え、FTPサーバー内の残存データと組み合わせる事で復旧を行いました。
その際ネックになったのがゾンビプロセス。
.htaccessやindex.phpを正常なものに置き換えても、すぐにファイルが上書きされてしまう現象がありました。
おそらくサーバーのメモリ上にマルウェアのプロセスが起動している状態と推察。
VPSなんかだったらコマンドでプロセスを一発Killできるのですが、今回はレンタルサーバー。
SSHも使えないのでサーバー会社のサポートに連絡してプロセスを止めてもらうしかありません。
ただこちらのサーバー会社はこの手のサポートが遅い上に、対応はなんと有料!
(ちなみに私がお勧めするXサーバーはこの手のサポートは無料でしかも早くて親切)
そんな訳でこのサーバーに見切りをつけ、今回はXサーバーにサーバー移転しつつ、復旧させるという手法にしました。
結果 早くて安全なサイトになって復活
WORDPRESSやプラグインは後からいくらでもダウンロード出来ますので、替えの効かない「テーマ」「データベース」を手動でサルベージ。ドメインのDNS変更をかけると同時に新サーバーを契約し最短復旧を行いました。
更にセキリティ対策を追加しました。
・国内メインのサイトなので海外アクセスを遮断
・WORDPRESSコアファイルへのアクセス禁止
・PHPバージョンの更新 5.6→7.4
・WORDPRESS、プラグインの更新
・管理画面へのログインURL変更
・パスワード回数制限の設置
・WAFの有効化
経験上、テーマやプラグインを更新出来ない場合は海外アクセス遮断だけでもやっておくと安心感が違います。
このようなマルウェアは海外からのアクセスがほとんどなので。
結果、ご連絡を受けた次の日には新しいサーバーで無事サイトを復旧させる事ができ、制作会社さんとそのクライアントさんも一安心。表示速度もだいぶ早くなりました。
テーマも古かったので最新版にしたかったのですが、3年以上更新されていないかったので今回は保留。
今後の課題としていただく事に。