2022年07月12日

【注意喚起:乗っ取り事例】更新パッチはしっかり実施しましょう!

もし、古くからレンタルサーバーを使っている人いたら
見直して欲しい。
最近のサーバーでもWordpress利用者は特に気にして欲しいと思います。

不審なPHPファイルや.htaccessファイルが存在していないかを。

私はついにというか、たまたまと言うか
InternalError500というエラーが表示されるようになったので
調査を開始しました。

始まりは結構まえからだった

サーバーセキュリティ設定だとか、
たまーに触ることがあったのと、PHPバージョンUPお願いします。
と連絡が来ていたので更新した覚えがあった。

その時に、FTP接続して、フォルダを一通りみると、
全部同じ日付の.htaccessファイルが置いてありました。

これはサーバーセキュリティにより勝手に配置されたんだな
とその時思いこんでいました。
特段おかしなことに全くなっていなかったので何も気にしませんでした。

URLクリック解析のPHPツールをインストールしていのですが、
それが使えなくなっていました、これはPHPバージョンアップのせいだから
そのうちデバッグでもするかと考えその時もあまり気にはしませんでした。

サーバーエラー500の発生

それが昨日、なんかつながらない、サーバー負荷高い?
メンテナンスはやってないらしい。
とりあえずサポートに連絡するも返信はないので
もう少し状況を確認していく。

どうやら、5日くらいから接続出来ていないようだった。
そして、サチコの有効ページ数がうん万、除外うん十万。

なんじゃこりゃぁぁぁ
そんなにページ作ってないですけど!!!!

ちょっと確認してみると、いろんな商品が単品ページになってインデックスされてる。
そんなツール入れてないし、何が起こってる?

ルートフォルダに知らぬPHP(パーミッション0)で複数ある。
嫌な予感しかしない。

可能性としてはFTPパスワードの漏洩?

原因は不明だし、対策もはっきりとはわからないが、
PHPファイルを作ってルートに配置したり、全フォルダに特定PHPだけ動作させる
.htaccessファイルを配置されるということはパスワード漏洩の可能性を疑い、
とりあえず、変更する。

しかし、短時間にルートフォルダにPHPが作成される。
これはどこかのフォルダにまだ何かあるか?

とりあえずPHP関係(幸いWordpressは使っていない)、あとは死んでるサイトばかり
消してもダメージはない。

ってことで手当たり次第にファイルを削除。

フォルダに対してパーミッションを再設定。

過去に設置したPHPファイルがバックドアに使われたか?
今の段階ではもうなんとも言えないが、メインサイトはSIRIUSで作成していたため
再アップロードができた。
不幸中の幸いである。

さいごに

今回、私の被害は小さかったですが、
Wordpress最盛の時代です、PHPがかなり使われていることになります。
リスクは相当高いと考えたほうがいいです。

  • 最新パッチを当てる。
  • パスワードを定期的に変更。
  • バックアップを取る。


は最低限でしょう。

Wordpressなら使わないテーマは削除。
無料のテーマ(更新されないもの)は利用しないなど、
注意が必要そうです。

他人事ではなく、自分ごとと考え見直しをお願いします。
サイトは資産です。どうか、大切な資産をしっかり防衛してください。

では、今日も最後までお付き合いありがとうございました。

posted by かっぱ74 at 00:10| Comment(0) | アフィリエイト | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
コチラをクリックしてください