• 解決済 idobatakurabu

    (@idobatakurabu)


    初めまして。

    welcartを使用してECサイトを運営していたのですが
    サーバ会社から以下の連絡が来て、不正アクセスが
    分かりました。

    <quote>
    お客様にご利用いただいているさくらのレンタルサーバから迷惑メールが
    配信された疑いがあり内部調査を行っておりましたところ、不正に設置や
    改竄をされた可能性が高いプログラムがお客様ご利用領域にて公開されて
    いるよう見受けられました。

    そのため、まことに勝手ながら該当ファイルのパーミッションを “000”
    に変更することにより、緊急措置として実行を一時的に制限いたしました。
    対象ファイルは本メール文末にてご案内いたします。

    さくらサーバで複数のサイトを作成しているのですが、ECサイトのみ
    ページも管理画面も入れない状況です。

    さくらの不正なアクセスの対処法を見ながら、000のファイルを削除することから
    始めようと思います。

    https://help.sakura.ad.jp/hc/ja/articles/206206051-%E4%B8%8D%E6%AD%A3%E3%81%AA%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9-%E3%81%BE%E3%81%9F%E3%81%AF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%81%AB%E6%84%9F%E6%9F%93%E3%81%97%E3%81%9F%E3%82%89-

    さくらはWordPressの脆弱性か、パスワードを読み取られたかどちらかと
    言っています。

    WordPressはバージョンを自動でアップデートしてくれているので(そう思ってました)
    パスワードかもしれないと思います。

    作業を始める前に、まずパスワードを変更したいのですが、どのphpファイルで
    パスワードを変更すればいいのか分かりません。

    どなたか助けてください。

    どうぞよろしくお願いいたします。

    よろしくお願いいたします。

    idobata

15件の返信を表示中 - 1 - 15件目 (全29件中)
  • CG

    (@du-bist-der-lenz)

    ECサイトのみページも管理画面も入れないのは、「迷惑メールが配信された疑いがあり」緊急措置として該当ファイルのパーミッションを“000”に変更することにより、実行を一時的に制限されたからです。

    パスワード変更は、オーナー・アカウントと、ショップ管理者で行います。
    しかしながら、それは第一手であり、ここで、サイト運用回復のために、早速に行う重要ごとは不正アクセスの特定です。

    ログインパスワードは、データベースに書き込まれているので管理画面に入れなければ書き換えできません。
    phpMyAdminでデータベースにアクセスできるならば、phpMyAdminでパスワードを変更することができます。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    npssl (@npssl)さま
    Du bist der Lenz (@du-bist-der-lenz)さま

    ありがとうございます。

    phpMyAdminはいれます。まだデータベースありました。

    すみません、動転していてパスワードの変更の仕方が
    分かりません。

    教えていただけますか?サーバ会社からphpMyAdminに
    入っています。

    phpMyAdminからパスワードを変更することでWordPressの
    管理画面に入るパスワードも一緒に変更されるのでしょうか?

    ———————————–

    Du bist der Lenz (@du-bist-der-lenz)さま

    オーナー・アカウントと、ショップ管理者とはなんでしょうか?

    サイト運用回復のためには、まずファイルを正常に戻して、
    いえ、正常に戻している途中にパスワードを知っている
    人物がまた入り込んで邪魔をされるので、先に
    とにかくパスワード変更と思ったのです。

    それから不正アクセスの特定と考えたのですが。

    どうぞお返事お待ちしております。
    お願いします。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    あ、すみません、リンク貼っていただいてました。
    やってみます。
    ありがとうございます。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    npssl (@npssl)さま

    すみません、

    phpMyAdminのWP_usersの表示にユーザーが二つあります。

    1は自分です。
    2がwp.service.controller.wxyzとなっています。(wxyzは書き換えました)

    登録日は0000-00-00です。
    これは削除しても大丈夫ですか?これが犯人ですか?

    本当にすみません、よくわかっていなくて。
    よろしくお願いいたします。

    まずは落ち着いてください。
    そのうえで、記事を読んでください。
    リンク先の記事以上にわかりやすく説明するなんて、私には無理です。
    そして、あなたが管理者であるサイトのユーザー数なんて私にはわかりません。

    • この返信は7年、 10ヶ月前にnpsslが編集しました。
    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    ありがとうございます。

    とりあえず、自分の1番目のパスワードを変更しました。

    どなたか、2番目のuserが誰なのかお分かりでしたら
    教えてください。

    末尾4文字が異なりますが、このスレッドに書かれているユーザーと同じじゃないですか
    https://wordpress.org/support/topic/hacker-registered-user/

    CG

    (@du-bist-der-lenz)

    複数サイトを作成され、ECサイトも運用されているのでログは監視されていることでしょう。サイトのパスワード変更はサイト検索で情報が得られるほど、あけっぴろげなので、それは進めていく一方。
    「正常に戻している途中にパスワードを知っている人物がまた入り込んで邪魔をされるの」は、経路がいくらもあり、現在行ってもすぐに再発することも考えに入れておきましょう。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    ありがとうございます。

    なるほど。
    直近のポストはかなり具体的です。
    ユーザーを削除するだけではなく
    勝手に作られたDBやサイトマップも削除、
    全てのパスワードを変更とありますが
    これだけ入り込まれると、見落としとか
    あるかもしれないので、全て削除するしか
    ないかもしれないですね。

    でも、DBやファイルは日付を見て削除するのでは
    だめかしらと思います。

    とりあえずユーザーを削除します。

    どうもありがとうございました。

    こんにちは

    日付を見てではなく、マルウェアを駆除するツールもいろいろあるようですが・・・
    例えば以下のリンク先で紹介されているようなものなど。
    http://officehit.biz/safe3506

    でも、どこまでやれば安心というものはないので、ご自身で判断されるしかないと思います。
    あと、復旧された後にも、一連のパスワード変更やセキュリティアップデートの適用、セキュリティを高める機能やプラグインの利用などなさってください。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    munyagu (@munyagu)さま

    ありがとうございます。

    マルウェア削除ですね。
    なんでもやってみます。

    さくらでは全部インストールしなおせと言ってますが
    できれば避けたいです。

    本当に、バックアップも取ってなかったし、パスワードは
    そのままでした。やっぱりパスワードを読まれたのでしょうか。

    セキュリティはJetPackと他にも入れていたと思いますが
    これではどお?というのがありますでしょうか。
    ご教示いただければ幸いです。

    お心のこもったアドバイスありがとうございます。

    😉

    CG

    (@du-bist-der-lenz)

    「迷惑メールが配信された疑いがあり、全部インストールしなおせ」とサーバーが言っているのは、踏み台にして大量メールが送信されていてサーバーに負荷がかかっているため、「000」にしてサイトを停止したものと思います。
    パソコン、モバイル内のマルウェア削除は懸命です。Wi-Fi経由でサイトアクセスしたことはなかったでしょうか。パスワードの変更は、わたしは毎月行っています。タイピングを監視されることもあるので、あまりにもパスワードっぽいものは使用しないで、普段良くタイプしている平易なものを使っています。

    それでもサーバーが直接攻撃を受けて、画像ファイルに偽装したマルウェアファイルが見つかることもあり、WordPressの大きなバージョンアップの時は、全部入れなおしています。

    セキュリティのプラグインでは、ログイン通知が届くようにしています。

    パスワードはそのままでした、とのことですが、最近ではパスワードを定期的に変更することはかえって危険、という流れになっています。

    https://the01.jp/p0002383/

    堅牢度の高い(長い、複雑な、それまで一度も使ったことのない)パスワードに定期的に変更するのなら意味があると思いますが、覚えられないからと言って変えるたびにモニターに付箋を貼っていては意味がないですし・・・システム全体の堅牢度を高めることに労力を使った方が効果は高いのだろうと思います。

    さくらでは全部インストールしなおせと言ってますが
    できれば避けたいです。

    この話に深く関わるつもりはないので軽く振れるだけですが……

    コードが改ざんされている可能性を考慮すると最低限WPのコアとインストールしている全プラグインは一旦削除し再インストールし直すべきですね。(wp-config.php, wp-content/uploads以下はバックアップを別途取る)これだけでデータが消えることはありません。

    しかし、プラグインが脆弱性を持っていたりDB内に問題のデータが有り、これがプラグインの脆弱性を突いていると仮定すると不十分すぎますが。
    (プラグインは何らかの設定をしていない限りデフォルトでは自動更新されません。仮に脆弱性が修正されていたとしてもそれが更新されていなければ適用されていない、なんて場合もありますね。)

    …… uploadsディレクトリ以下に実行可能なファイル(php, cgi 等)が存在していれば(もしhtmlもphpとして実行するようにしていればもちろんそっちも)それは要除去ですよね。

    そもそもこのケースではさくらが原因を突き止めてパーミッションの変更をしてくれているようなので「それが何か」がそもそも大事になりますが。

15件の返信を表示中 - 1 - 15件目 (全29件中)
  • トピック「不正アクセスにより管理画面入れません」には新たに返信することはできません。