PHP改竄によるサイトのダウンからサイトの復旧まで

まず初めにお知らせです。

このサイトのアドレスが以下の様に変更されました。

旧) http://y3k.jp/diary

新) http://y3k.jp

以前から気になっていた構成を今回の以下の出来事があった事によりサイトの再構築となった為、ついでに変更しました。

その内容は・・・

なんと、先週の3月14日あたりからこのサイトが攻撃されたという事実!!

それにより、ホスティング会社より以下のメールが届きました。

===================================================

▼ユーザー名
XXXXXXXXX

▼タイトル
[SUPPORT] [重要] セキュリティチェックのお願い

▼内容
平素は弊社サービスをご利用いただき、誠にありがとうございます。

早速ですが、お使いのアカウント内で規約違反行為が行われております。
http://y3k.jp/XXXX/XXXXXX/XXXX.php 等
より、送信者を詐称したSPAMメールが大量に発信されております。

アカウントが乗っ取られた、もしくは、踏み台にされている可能性がございます。
緊急処置としまして、当該ファイルならびに改ざんと見られるファイルん属性を000に変更し、非表示といたしました。

また、海外からの大量のPOSTアクセスがみられたため、拡散防止として、海外からのアクセスを拒否する設定を記載したファイル「./public_html/.htaccess」を設置しております。
※元の「./public_html/.htaccess」は「./public_html/.htaccess_」に名前を変更しております。但し、不明なサイトへのリダイレクト等の記載が見られますため、取扱いには十分ご注意ください。

当サービスを介して、第三者に悪影響を与える行為をなされる事となり認められませんため、
今後も同様の行為がなされる場合はアカウント削除、ドメイン削除とさせていただく場合がございます。
お客様にて、ご確認いただきましたら、サーバー上の全てのファイルを削除し、最新版に置き換える等、適切な処置を賜ります様お願いいたします。

下記URLを参考にしていただきましたら幸いに存じます。

●Web サイト改ざんに関する注意喚起
https://www.jpcert.or.jp/at/2016/at160047.html
●CMSを用いたウェブサイトにおける情報セキュリティ対策のポイント
https://www.ipa.go.jp/security/technicalwatch/20160928-1.html
●IPAテクニカルウォッチ
「ウェブサイトにおける脆弱性検査手法(ウェブアプリケーション検査編)」
https://www.ipa.go.jp/security/technicalwatch/20160928-2.html

以上、よろしくお願い申し上げます。

===================================================

ん~このメール3月15日に届いていたのね。

サイトがダウンしているの気づいたのが20日の夕方でGoogleからの

「http://y3k.jp/diary/ でのアクセス許可エラーの増加を Googlebot が検出しました」という件名のメールでサイトが落ちている事に気づきました。

結果’、5日以上も放置してしまいました。管理者として反省すべきことですね。

もう1回やらかすと、アカウントおよびドメイン削除になりそうです・・・

 

実際攻撃にあって思ったこと・・・・

バックアップは取っておきましょうの一言です。

 

正直、バックアップはサイトをリニューアルした2年程前のもので実質使えないものでした。

しょうがないので、感染サイトから画像ファイルだけを抜き出し、それ以外は再構築しました。

そして、再度、画像ファイルだけを同じフォルダへ戻す作業で何とか今までの投稿記事は守ることができました。

ただ、テーマ等は完全に壊れてしまって、再度試行錯誤している途中です。

あと、CMSのバージョンは常に最新にしておきましょう。

今回は、CMSの脆弱性を突かれてしまいました。

実際はこのサイトではなく、同ディレクトリに設置していたテストサイトで、半年程前に構築してそのまま放置していた事が原因となった様です。

そんなこんなの2日間でした。

はぁ~疲れたわ・・・

最終更新日: 2017/3/31(金)

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です