【近況】不正アクセスの顛末

10月初旬に、借りているエックスサーバーに、不正アクセスがあって、アカウント停止。全データ(すべてのサイト)を消去する羽目になるという、残念な事故案件があって、今日はその顛末を書きます。

10月14日に書いたように、このブログもしばらく消えていましたが、とりあえず復活させました。

今回の侵入は原因が分かってて、それは、とある人に管理をまかせていたWordPressで、その人が、何を考えたのか、プラグインを76個も入れて、テストをしていたのかなんなのか今となっては分かりませんが、その76個を数ヶ月間、保守怠慢なまま放置していた、そのサイトで最初のトラブルが起きました。

最近のWordPressは、プラグインに何らかの問題があるとメールで警告してくれるんですが、まずそれが来ました。
その管理者の人に連絡したら、対応しますという返事だったので、まあ対応してくれたんだろうなと思い(その時点ではプラグインが76個入っていることには気づいて居ませんでした)

しかし、数日後に、今度は同じサイトの問合せフォームから、英文スパムが届きました。

このへんで、イヤな予感がしました。
なぜなら、ContactForm7を普通に使っていたら、そんなもの入るわけがないからです。メールアドレスに直接スパムが来るのは普通ですが、ContactForm7から来るのは、明らかに異常事態です。

管理者に連絡したら、また、対処しますとのことでしたが、その翌日、2通目のスパムが来たので、え?と思って、サイトを見て、プラグイン76個を発見。しかも、アップデートが必要なプラグインがいっぱいそのままになってる!

その時点で、「ちょっとこれ、ないわ」となって、管理者さんに、「私のサーバーでプラグインのテストするのやめてください、すぐあなたのサーバーに移転させてください」と通知したところ、

「使えるサーバーがありません」

というメッセが。

「えっ!」

私は絶句です。未だかつて、WEBやってる人で、個人で使えるサーバーを持ってない人など見たことがありません。(その管理者さんは自称プロ)

(何言ってるんですか、今すぐ借利なさいよ)

という言葉を飲み込んでとりあえず「じゃあこれ消しますよ」と通知。移転先のない、プラグインが76個はいったWordPressのサイト、まるっと初期化して、ほっとしたのもつかの間。

他のサイトで突然、header.phpのFatal エラー。
あちゃー(>_<)

もちろん私はheader.phpなど編集していません。ハッキングによる改ざんです。ディレクトリを見ると、見覚えのない、不自然な名前のディレクトリやファイルが多数。

まあ、消すしかないので、消していたんですが、その数日後。
全サイトが 403 Forbidden。
焦ってるところに、エックスサーバーからメールが来て、アカウント停止されたことが判明。

そこからは、エックスサーバーのメールの指示通り、すべてのWEBディレクトリを消す初期化作業をすることに。
それに先立って、とりあえず今あるデータをローカルにダウンロード(これにひと晩)
翌朝、きれいに初期化してエックスサーバーに連絡したら、すぐに復活させてくれましたが、全サイトは消えてます。

これを復旧するのに、ダウンロードした旧ファイルは一切使ってくれるな、WordPressもプラグインもテーマも、新品を入れてくれ、とエックスサーバーから言われているので、せっせと新規インストール。

困ったのは、旧データベースです。

エックスサーバーからは何も言われていないので、結論的には使いましたけど、データベース内に何か仕込まれてる可能性があると、数人の方から指摘を受けて、どうするか悩みました。

あと、uploadsディレクトリの写真も、何か仕込まれてたら見破れそうになく、これも悩みました。

こういうのを除染してくれる専門業者があると聞いて、サイトを見てみたりもしたけど、絶対汚染されてるとも言えないので、悩ましいところ。

で、結局、運を天に任せて、データベースと写真は使い回し。
再発するようなら除染を検討することにしました。

こうして、1ヶ月くらいかけて、ほとんどのサイトは復旧しましたが、ひとつだけ、EC-CUBEで作ってあった筆文字ショップだけ、復旧できず消滅しました。

コアファイル内に改造した箇所がたくさんあって、新品から復元するのがあまりにも大変だったので。
侵入経路になったのはWordPressでしたが、あおりを食らって消滅したのはEC-CUBEでした。EC-CUBEのセキュリティはだいじょうぶだったのに、なんて悲しい結末。EC-CUBEとWordPressは、別サーバーに置いたほうが良さそうです。マジで。

…というわけで、なんだか、WordPressの復旧に終始した1ヶ月でした。
おかげで、古いプラグインを一掃したり、セキュリティやマルウェア感染、アクセスログを見れるプラグインなど、導入することができました。

復旧作業と並行して、作りかけだった会員サイトも完成でき、その合間に、動画をとって編集してVimeoにアップするなど、そうした作業もガシガシ進めて、10月はめっちゃ、がんばった。

ひさしぶりに新しいサイトをオープンできて、作るのも楽しかったし、動画編集もなんとかなって、それなりに楽しい1ヶ月でした。

特に新サイトを作っているときのワクワク感は、忘れていた感覚でした。
もうずっと、何年も前に作ったサイトのお守りしかしてなかったので、楽しめました。

来月は、サイト作成からちょっと離れて、マーケティング・プロモーションのほうに進む予定。本格的にステップメールとかやらないといけないので、今日は一日、MailChimpの使い方を調べて過ごしました。

英語なのが敷居高い。けど、WordPressでリスト管理してると、今回みたいに全消去の事態になったとき復旧が大変なので、外部サービスを使ったほうが安心だなと思って。

メールの配信だけならできそうだけど、それ以前に、配信のシナリオを作る話になると、奥深くて、きっちり最初から設計しないと、付け焼き刃では成立しない気がして。

マーケティング大切です。

タイトルとURLをコピーしました