• 解決済 idobatakurabu

    (@idobatakurabu)


    初めまして。

    welcartを使用してECサイトを運営していたのですが
    サーバ会社から以下の連絡が来て、不正アクセスが
    分かりました。

    <quote>
    お客様にご利用いただいているさくらのレンタルサーバから迷惑メールが
    配信された疑いがあり内部調査を行っておりましたところ、不正に設置や
    改竄をされた可能性が高いプログラムがお客様ご利用領域にて公開されて
    いるよう見受けられました。

    そのため、まことに勝手ながら該当ファイルのパーミッションを “000”
    に変更することにより、緊急措置として実行を一時的に制限いたしました。
    対象ファイルは本メール文末にてご案内いたします。

    さくらサーバで複数のサイトを作成しているのですが、ECサイトのみ
    ページも管理画面も入れない状況です。

    さくらの不正なアクセスの対処法を見ながら、000のファイルを削除することから
    始めようと思います。

    https://help.sakura.ad.jp/hc/ja/articles/206206051-%E4%B8%8D%E6%AD%A3%E3%81%AA%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6-%E4%B8%8D%E6%AD%A3%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9-%E3%81%BE%E3%81%9F%E3%81%AF%E3%82%A6%E3%82%A4%E3%83%AB%E3%82%B9%E3%81%AB%E6%84%9F%E6%9F%93%E3%81%97%E3%81%9F%E3%82%89-

    さくらはWordPressの脆弱性か、パスワードを読み取られたかどちらかと
    言っています。

    WordPressはバージョンを自動でアップデートしてくれているので(そう思ってました)
    パスワードかもしれないと思います。

    作業を始める前に、まずパスワードを変更したいのですが、どのphpファイルで
    パスワードを変更すればいいのか分かりません。

    どなたか助けてください。

    どうぞよろしくお願いいたします。

    よろしくお願いいたします。

    idobata

14件の返信を表示中 - 16 - 29件目 (全29件中)
  • トピック投稿者 idobatakurabu

    (@idobatakurabu)

    みなさま

    ありがとうございます。

    まだ何をしていいのか途方にくれている状態です。

    昨日はphpMyAdminからパスワードを変更し、犯人の
    useを削除しました。

    4/3にイタリアからアクセス1件
    ありました。4日以降はもちろんなし。4/2ロシア、アメリカ
    スペイン・・・

    マルウェア削除ツールを使いこなせるか分からないので
    とりあえず、
    hinaloeさんのアドバイスに従ってuploadとconfig.phpを
    バックアップとりました。

    ドメイン直下にdead.letterがありましたのでローカルに
    落としてサーバから削除しました。

    uploadに1月に知らないphpがあり、開くことができなかったので
    削除しました。他には実行ファイルはありませんでした。

    ドメインの直下にも変なファイルがたくさんあります。

    今私が言うのも変ですが、いただいた記事も読みましたが
    確かにパスワード一つでセキュリティを
    完璧に守ること自体に無理があると思いました。

    まだ復旧のめども立たないので、しばらく開けておきます。

    また何かアドバイスがありましたらよろしくお願い
    いたします。

    いいご報告ができるようにがんばります。

    CG

    (@du-bist-der-lenz)

    迷惑メールの発信元に利用されたと思います。マルウェアが仕込まれていれば、閲覧者に感染もありえます。いずれにしろ、再開まではサイトはメンテナンス状態にするのが良いでしょう。
    アクセスを監視。終息を待ちます。

    その間、データベースから必要なデータだけを取り出して、隔離した環境で再構築しましょう。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    ありがとうございます。

    ご紹介いただいたマルウェア駆除をダウンロードしましたが
    サイトのURLを開けないので、やっぱり000ファイルを削除するのが
    先かと思っています。

    さくらに問い合わせをしていますが、返事待ちしてます。

    データベースは全部見ましたが、大丈夫そうです。sqlにして
    エクスポートしました。

    他の人に迷惑がかかってはいけないので、あせらずに再開まで
    慎重にやっていきます。

    CG

    (@du-bist-der-lenz)

    ローカルで再構築してみましょう。それで問題なければ、元のサイトは完全に削除するのが良いです。同じサーバーだと、また不正アクセスを許しやすいので。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    ローカル!!

    そうでした。

    xamppに昨年11月にアップロードした時の
    ファイルが残っていました!

    ヒントをありがとうございます。

    一応データベースはエクスポートしたものを使おうと思います。

    問題は、今後このようなことを発生させないための
    対処法が分からないことです。(原因が分からないのだから)

    みなさまに教えていただいた、パスワード、マルウェアの
    監視?、など、それと、セキュリティのプラグインを
    変更する、とかなんでもやってみようと思います。

    心配なのは、ドメインがブラックリストに載ってしまっている可能性、
    と、サーバの脆弱性です。

    取り急ぎお礼とご報告まで申し上げます。

    CG

    (@du-bist-der-lenz)

    そもそも原因は、いくつも想定することは出来ます。 @idobatakurabu さんの日常を知らないので究明の手掛かりがないだけです。
    原因として多いのは、パソコンにウイルスが侵入している。外部のネットワークやWi-FiでECサイトにログインしたことはないか。ECサイトにログイン出来るネットワークを限定しましょう。
    公式ディレクトリ以外のプラグインやテーマがインストールしたままになっていないか。公式ディレクトリにあるからといっても、長いことメンテナンスされていないものは注意。
    複数サイトを使っていることで、そちらのサイトから侵入を受けた。
    サーバーが攻撃を受けた時に、確認を怠った。
    そうした、ごく当たり前で、よくあることでしょう。何時から改ざんされていたか気が付かなかったんでしょう。ECサイトにログイン作業している時に同時にほかのサイトや、SNSにログインしていることはないでしょうが、前にも書きましたが、鬱陶しく感じる時もあるけど、ログイン通知の警告音がなることで自分だけがログインしていることがわかることはかえって安心します。
    同じパソコンでも、こうしたフォーラムへのアクセスとは分けて、わたしはショップサイトの作業では別アカウントでログインしています。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    @du-bist-der-lenzさま

    詳細なアドバイスをありがとうございます。

    思い当たることもあり、これは大丈夫というものも
    あります。日ごろの簡単なことをしっかり守っていくことが
    サイトを運営する責任者として大切なことが
    よくわかりました。

    複数の場所でWifiを使用して接続はしています。
    現在すべてのWifiで無線の暗号化ができていたかを
    調べています。また、MACアドレスフィルタリングも
    少々大変でも設定しようと思います。

    プラグインやテーマに関しても無頓着であったと
    反省しています。

    こんなことになるとは想像もせず、ログイン通知もほとんど
    無視していました。

    WPでAll In One WP Securityを他のサイトに入れていて
    当該サイトには入れていなかったことも失敗でした。

    このプラグインをよく見ると、アクセスの通知、
    ファイル変更の通知、ログイン画面のURL変更など
    いろいろできることが分かりましたので
    しっかり使っていきたいと思います。

    また、プラグイン内で、有料ですがマルウェアの監視も
    できるようです。

    同じサーバで他のサイトの削除もするべきか判断ができず
    まだ回復には至っていませんが、状況を整理しながら
    がんばります。

    本当にありがとうございます。

    CG

    (@du-bist-der-lenz)

    ドメインが転送される事態に至っていないか、DNS設定を確認して。別サーバーで構築を進めてはいかがでしょう。回復のために労するより前向きで居られます。起こったことの立て直しには、現状回復は過去のものと思い行動しましょう。
    原因究明は後々でも出来ますが、サーバーの他のユーザーへの迷惑にならないように配慮して嘉いでしょう。
    物事は日々前進してますので、今回の要因が判明しても古い手口になっていることでしょう。

    マルウェア監視を専門するプラグインも公式ディレクトリ所収ありますから、注意メールが届くだけでも有効に思ってます。

    ところでさくらのレンタルサーバーということですが、WAFは有効にされていましたか?

    仮に有効になっていてももちろんこれで今回の攻撃は防げなかった可能性もありますが、プラグイン脆弱性への1つの備えとしては時には有用かもしれません。一部のプラグイン等がこれにより設定できない、などで無効化されていることもよくありますが、基本的には一時的に無効化してもその後最有効化を忘れない方がいいでしょう。
    (最近の いわゆるレンタルサーバー のようなホスティングサービスでは提供されている場合が多いですね。)

    CG

    (@du-bist-der-lenz)

    プラグインの設定ができなかった場合でも、除外記述を.htaccessファイルに追記することで WAF は有効のまま大丈夫だから、無効化、有効化を繰り返すより便利ですね。
    レンタルサーバーにより、インストール時に WAF が有効化されていないので未設定の状態で使い続けているケースは多そうです。

    hinaloeさま
    CGさま

    ありがとうございます。
    WAF無効でした。最悪です。

    以前ロリポップでデフォルトが有効だったので
    必要に応じて無効にすればよかったので
    油断しました。

    さくらがまさかデフォルト無効とは思いもしなかった。

    セキュリティのためにやることリストに追加します。

    htacesseに記述も調べてみます。プログラムが
    よくわからないのです。

    WPのWP All in One Securityにファイアウォールの
    設定もありましたが、両方かけて大丈夫でしょうか。

    ありがとうございます。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    お世話になっております。

    サイト復旧にあたり、これまで皆様からアドバイスをいただいたり
    自分で調べたりして反省点や今後の対策をまとめました。

    サイトで使用している、プラグインの会社のフォーラムにも
    同じご相談をさせていただいており、このメッセージが重複しますので
    以下はquoteで表示させていただきます。

    事前の対策:
    ・パスワード管理はもちろん、「All In One WP Security」などのプラグインで最大限の防御をする。
    ・Scannerで不審なファイルが投入された通知が来た時点で、ディレクトリを削除する。(これだけではいたちごっこ)
    ・サーバ会社のWAFをオンにしておく(サーバ会社によってデフォルトで有効になっている場合があるので要注意。
    ・サイトを海外からアクセス不可能にする。
    ・サイトにアクセスするときは、SNSなどは閉じておく。
    ・複数のPCでログインしない。Wifiを使うときはアクセス権やマックアドレスの設定など最大限のことをする。
    ・テーマ、プラグイン、WPのバージョンは常に更新状態にする。

    事後にしたこと:
    ・MySqlから、ありえないユーザーを削除
    ・MySQLから、WPのパスワードを変更
    ・複数のサイトを一つのサーバで運用していたが、あきらめてサーバのファイルを全部削除して、ドメイン直下のファイルを初期化。

    サイトを作成したxamppにアップロード前のファイルが残っていたので、これを再度アップロードしました。

    ・サーバ会社に聞いて、MySQL内のデータベースは大丈夫だろうと言われたので、サーバのファイルを削除する前に、データベースとUploadだけはバックアップを取りました。中身を全部見て、画像ファイル以外は全部削除する。バックドアがしかけられている可能性があるので、PHPやCGIなど全部。

    ・config.phpもバックアップ取りましたが、これは使わず接頭辞、サーバ情報、パスワードなどの部分だけ手動でxamppのファイルを戻した時にコピペしました。

    その他:
    ・ECサイトなので、お客様のクレジットカード情報の漏洩が心配でしたが、カード情報を外部(決済会社)サイトで入力する方法を選んでいたのでよかったです。

    ・大量迷惑メールでドメインがブラックになっていないかを確認しましたが、幸いリストにのっていませんでした。乗っていたら解除依頼を出さなければならないので。

    もっとたくさん考えること、するべきことあると思いますが、
    現時点で自分なりに、まとめてみました。

    ECサイトを運営する限り、まずはお客様の個人情報を守ること、共有サーバ
    を利用している方々に被害を及ぼさないことなど、個人であろうと
    サイト運営者の最大の義務だと思い、とても大きな勉強をしました。

    みなさま、ありがとうございました。

    CG

    (@du-bist-der-lenz)

    「ECサイトを運営する限り、まずはお客様の個人情報を守ること」
    このことは、どんなサイトユーザーも同じに思うことでしょうが、
    「共有サーバを利用している方々に被害を及ぼさないことなど、個人であろうと
    サイト運営者の最大の義務だ」
    こちらがとても大事ですね。
    同一のサーバーで複数サイトを設置していると、あちこちにバックドアを作りやすくなるだろうし、セキュリティの通知を見過ごしがちになりますね。
    「複数のPCでログインしない。Wifiを使うときはアクセス権やマックアドレスの設定など最大限のことをする。」設定できることは全て処理を済ませる。良くわからないで、初期のままって多いと思います。

    わたしは「サイトにアクセスするときは、SNSなどは閉じておく。」が、SNS時代になって重点だと考えています。OSレベルでログインしているのが当たり前になってきてますからね。

    チェックシートとしても、よくまとめられていて、広く知らせたいですね。

    トピック投稿者 idobatakurabu

    (@idobatakurabu)

    CGさま

    ありがとうございます。

    誰でもECサイト開設が簡単になっていますが、どれだけの人が
    セキュリティに気をつけているのかと思いました。
    私のようによくわからないのでそのままになっている人多いのでは。

    リストはとりあえずなんでもかき集めた、みたいになっていますが
    具体的な情報やリソースなども整理して、今後の覚え書きにしたいと思います。

    今回の経験をこれから自分のブログでも情報発信したいと思います。

    CGさまはじめみなさまには、本当に感謝しています。

    ありがとうございました。

    nekobatakurabu

14件の返信を表示中 - 16 - 29件目 (全29件中)
  • トピック「不正アクセスにより管理画面入れません」には新たに返信することはできません。