こんにちは。
小規模ECサイトの中の人です。
今日はECサイトじゃなくて、通常?のWebサイトのことを。
ECサイトの他にWebサイトもいくつか管理しており、レンタルサーバーを利用しています。
そちらに悲しい連絡が届きました。
ううぅ。。。悲しいけど、ただでは転ばないYO!
自分を奮い立たせるために、対策中(バックアップ)の時間を使って、このブログを書きました。
こんなメールが届きました(泣)
朝、お世話になっているレンタルサーバー会社さんより
メール送信件数の上限を超過しております
というメールが届きました。
え。
えええ。
マジか。
もちろん、メール送信はしていません。
どうしよう。
■メールの送信にお心当たりがない場合
メールの送信にお心当たりがない場合、WEBサーバーに存在するファイルから自動的にメールが送信されていたり、メールを送信するための不正なファイルが第三者によってWEBサーバーに設置され、悪用されている可能性がございます。
(T T)
このレンタルサーバーで複数のWebサイトを管理していたので、今日の予定はすっ飛ばしてソッコー対策をしました。
メールに対策方法の案内があったので参考にすることに。
もともとやっていた対策
- セキュリティソフトでパソコンのウイルスチェック
- 指定IPアドレスのみFTP接続できるように
- WordPress本体、プラグイン、テーマを最新バージョンにアップデート
- WAF(ウェブアプリケーションファイアウォール)の有効化
- FTP・WebDAVパスワードの変更
- ついでにWordPressのログインパスワードも変更
- お問い合わせフォームのセキュリティ対策としてGoogle reCAPCHAの導入
こんな感じでした。
今日やった対策
- WEPサーバーにあるフォルダのパーミッションを705に設定
- 怪しいファイルをウイルススキャン
- 身の覚えのないファイルやフォルダを削除
費やした時間は前半戦3時間、後半戦2時間ほど。
そのうちの4時間は「身の覚えのないファイルやフォルダの削除」の対策に時間を使ったかなぁ。
身の覚えのないファイルやフォルダを削除
いま思うとコレについて。
対策が甘かったと思います。反省。
・・・さて、どこから手をつけよう。
ぼんやりサーバーを眺めていると、レンタルサーバー会社さんからメールが届いた時間の、ちょっと前の時間に更新されたファイルやフォルダがあることに気づきました。
今日はまだWebサイトに手をつけていない。
更新とか何もしてないしなぁ。
どれどれ、ゴソゴソ。
む?
あれ、こんなのファイルあったっけ・・・?
何やら怪しい文字列のファイルがありました
- xxxxxxx(英数字の羅列).php
こんな感じで英数字の羅列でつくられたファイルが複数。
更に更新日時が同じ時間帯なのが怪しい。
…におう
念の為、WordPressやテーマの初期データと見比べ。
うん、やっぱり怪しいので削除。
なんじゃい。
こんなファイル名つけないしなぁ。
ゴソゴソしてみると、同様のファイルが3つのウェブサイト(のデータあるフォルダ)にありました。。
駆逐してやるっ!!
大切なパソコンが傷つかないよう手先の操作はソフトに、一人で黙々パソコンに向かって作業をしているため表情が豹変するとキチガイーーなので飄々と、しかしcontrol +Enterでたっぷり念をこめて削除しました。消えろ消えろー
次に怪しいフォルダを発見
これはなんだろう。
- FOX
- FOX-4
何やら怪しい文字列のフォルダが複数。。
おや、こちらのフォルダにもある。
というか、あれ?増えた??
うぇー、削除削除!!
と思ったら
・・・消せない!!!泣
パーミッションを変更したり、フォルダ名を変更してみても、消える気配はありません。
どうやらレンタルサーバー会社さんに削除依頼をする方法があると知り、依頼を心に決め、ひと休み。
怪しきファイルは消したので少し安心。
かれこれ、3時間経っていました。
これで、ひと休みできると思ったら
警告メールが届いてから6時間後。
あれ?あれれれ?
また、メールが届いているじゃあ〜ないですかっ。
レンタルサーバー会社さんに問合せはしたけれど、返信はまだ。
代わりに届いたのは
メール送信件数の上限を超過しております
デジャブーーーーーーーーー(TT)
まずは先程の怪しきファルダをパトロール
再びサーバーに、よいこらしょ。
変化はなさそうだなぁ。
怪しいフォルダのみ残ったままの状態、消えてくれー。
次に、WordPressをインストールしているフォルダを重点的にパトロール
うーん。
代わりなさそう。
念の為、WordPressをインストールしていないフォルダもパトロール。
まさか、ここにも?WordPressをインストールしていないフォルダにも怪しき影
む?
あれ、こんなのファイルあったっけ・・・?
本日2回目。デジャブーーーーー
WordPressの脆弱性が狙われたんだろうなと思っていたので、WordPressをインストールしたフォルダを重点的にパトロールしていましたが、WordPressをインストールしていないフォルダにもこんな現象が。
- サブドメインで公開している現在未使用のフォルダに怪しき影(ファイル)
→対策:丸っと削除 - そもそも、このフォルダにWordPress入れたっけ?を発見
→他のWordPressサイトのwp-configの情報を見比べ、違和感があったので削除
うーん、そうか。一度入られてしまったら他にも広がるのか。
更に感染が広がらないように、怪しいファイルやフォルダはどんどこ消しました。
判断に迷ったファイルはウイルススキャンをして確認してから削除。悲しいかな、警告のファイルがありました。
- haccess.php
これです。
サイト内にいくつかあって。自己増殖するのかな?対策をしている最中にも、あれ?増えた??という瞬間も。(気のせいだったらゴメンナサイ)
盲点だったのが、WordPressで作ったWebサイトのデータがあるフォルダじゃないところにも、怪しき影があったということなんですよね。。
今日のところ、それ以降は怪しき動きはありません。
あとは、レンタルサーバー会社さんの返答をまとう。
ぐすん、早くお返事欲しいな。
ついでにサーバ内を整理整頓
どうせならばと、サーバー内のデータを整理整頓することに。お掃除お掃除。
もしかしたら、何かで役立つかも〜。
なんて思って、もう使用していないデータも入れっぱなしにしていたのですが、不要なファイルやフォルダは削除しておいた方がいいですね。怪しき影を発見しやすい。
それと、サーバー内の定期パトロールが必要だなと思いました。