先日記事にしたサイト改竄被害に関してですが、ブログの更新を見送り復旧作業に専念した結果、ようやく落ち着きを取り戻しましたので更新を再開させていただきます。本ブログに関しては被害は少なかったものの、先日も書いた通りランニングブログの方の被害は甚大でした。今回はその顛末を書いてみたいと思います。
被害の内容
侵入経路等は不明なままですが、Wordpressのトップページである「index.php」というファイルが改竄されるというものでした。通常、index.phpは以下のような記載がされています。
Wordpresのプログラムファイルなどの在り処を指示していますが、改竄されたindex.php はこんな冒頭がこんな感じに改竄されていました。
巧妙なのはハッシュ(暗号)化され、すぐには改竄内容がわからないようになっていることです。時系列に経緯を書いていくと以下のようになります。
時系列の経緯
最初の被害発覚
ランニングブログのヘッダの上部にNHL関連グッズの販売サイトへのリンクが表示されているのに気が付く
【6月11日 昼】
index.php が改竄されていることに気が付き、オリジナルのindex.php を上書き更新する
この時は、これですべてが完了したと思っていましたので、そのほかの対応をすることはありませんでした。今にして思えばこの時にしっかり対応していれば被害の拡大を防ぐことができたかもしれません。
本ブログでの被害
本ブログが表示されなくなる
【6月11日 夕方】
ブログのindex.php が改竄されていることが判明し、オリジナルのindex.php を上書き更新する
本ブログにマルウェア対策プラグインを導入し、他の改竄がないかチェックし他に被害がないことを確認。
今にして思うと発生した事象も異なりますし、被害の範囲も異なりますので、ランニングブログとは別の種類のハッキングだったように思います。それにしても以前に3~4年運用費していたレンタルサーバではこのような事案はありませんでした。しかしGMO系のサーバに移転して1年足らずで、このような事案が立て続けに起きると、次の更新ではまた他のサーバに移ることを考えさせられます。
ランニングブログの被害深刻化
GoogleやYahoo!でランニングブログを検索すると、URLは自分のサイトにも関わらずYahoo!ショッピングのバッグ販売サイトが表示されるようになっていることに気が付く。検索サイトの結果をクリックすると一度は、自分のサイトに飛びながらバッグの販売サイトに飛んでしまう。
再びindex.php が改竄されたうえ、ルートディレクトリに見慣れぬディレクトリが作成されていることが判明。index.phpをオリジナルに戻すとともに余計なディレクトリを削除
ファイル、フォルダのパーミッション(アクセス権限)の見直しを行い少し厳しめの設定に変更する
【6月21日 夜】
ランニングブログの改竄がまたしても判明。改竄の内容は前日と同じ対処を行う。
急遽、無料で使用可能なレンタルサーバと契約しバックアップデータから、サイト構築しサーバ移転
【6月22日 昼】
サーバ移転後のランニングブログの改竄を確認。改竄の内容は前日と同じ。とりあえず不要なディレクトリを削除し、index.phpをオリジナルに戻す
ここへきてもぐらたたき状態に陥ります。移転先のサーバでも同じ現象が発生したのは問題は削除したディレクトリやファイルだけではなく、下位階層のディレクトリにも改竄が及んでいたようです。
バックアップからリストアしましたが、バックアップデータにも改竄プログラムが混入していたのでしょう。
仮サーバへ再移転
再び別な無料サーバを用意。今度はバックアップからのリストアではなく、Woedpressの新規インストールを行う。
Wordprerssの環境構築後は、旧サーバから記事のエクスポートを行い新環境にインポートする。
ヘッダ画像などの調整や、それまで行っていたカスタマイズプログラムを適用し新規インストールからの環境構築を完了する
新規インストールから環境を構築しましたので、問題のあるプログラムの混入の可能性はほぼゼロと言えるはずです。この状態で1週間ほど様子を見てみる事にします。
ただしこの時用意したサーバは無料という事もあり強制的に、広告が表示されるものとなっていました。やはり広告は非表示にしたいので、1週間ほどかけて広告が表示されないサーバを探すことにします
本サーバへ再移転
今後、運用を行う無料サーバを決定し環境構築。
仮サーバからバックアップを取り、新サーバにリストア
仮運用の1週間ほどの間、問題が起きることはありませんでした。そこで今後、ランニングブログの運用を行うサーバに正式移転を行いました。これでいちれんの騒動はひとまず収束したものと思われます
今後の予定
本ブログを運用しているサーバの契約期間は8月までとなっております。それまでの間に本ブログの運用サーバに関しても移転先を探して移転という事になりそうです。
どこから進入したのかが不明なのは理解できますが
目的は明白なような気もしますが
どうなのでしょう
ただ証拠がつかめないのでどうしようもありませんが
やほーにこんなことがあって○○に飛ぶような細工になってしまったと
伝えることはできないものなのでしょうかね
でもこういう会社はあまり個人の意見を聞きませんからね
受付だけしてポイ・・・が多いです
あさと さん
大家に文句言っても店子のやっていることの詳細は関知していないとの答えが返ってくるだけでしょうから、言うだけ無駄でしょうね。勝手に飛ぶようになった先のショップにしても、彼らがやったという証拠はありませんから、今回のケースは泣き寝入りですね。」
ただこちらとしては自衛としてできるだけセキュリティを高めておいて、早晩もう少し安心感のあるサーバに引っ越すという事になりそうです。