備忘録として。サイトの改ざん被害とそれへの対応策。

 

起こったこと


国外のサイトに掲載し、その日から英文で謎のお問い合わせが来るようになった。
そのタイミングで、サイトの中に、リンク付きの不信な文字列が急に増え始めた。
(スマホの場合は確認されず)

原因


国外IPからのBOTからのアクセスがあり、そこから
不正コマンドを実行された可能性が高い。

今後、誰かが同じような症状に見舞われたり、
もしくはまた何かあった時のために備忘録として記憶のあるうちに
記載しておきます。


解決までに行ったこと

「エックスサーバーに問い合わせをする」

今回、契約していたレンタルサーバーは、
「エックスサーバー」です。

セキュリティ対応は良いと聞いていましたが、
実際にとても助かりました。

サーバー上にアップされている
「不正な可能性のあるファイル」
を検出してもらい、まずはそれらの削除を施しました。

その後、エックスサーバーの指示により、
サーバー上のすべてのファイルを消去(設定しているすべてのドメインを消去)。
そのためにバックアップを取る。

 

→これには躊躇しました。

少しでも必要そうなものは後から削除したものを復活させられないので、
念のためにすべてバックアップする。
ホームージだけでなくたくさんのサイトをアップしており、
そこに時間がかかった。
→FTP経由で、サーバー上にあるものを、ローカルに落とす。

使用したソフト: FILE ZILLA

https://ja.osdn.net/projects/filezilla/

言われた通り、
すべてのドメインを消去し、エックスサーバーから、凍結解除のメッセージを受け取り、
復旧作業を開始。

またFTP経由でバックアップしたファイルを、サーバー上元に戻す。

→ここで問題が発生

「アップロードしたものが、いつまでもウェブ上に反映されない」

ドメインの再設定後、は通常一時間ほどで反映されるはず。
一時間たっても反映されない。
SSL化(アクセス時暗号を使うことにより、個人情報の漏洩を防ぐ)を、消去前には施していたこともあり、
その関係か?と思い、同時に、再度SSL化を申請する。(エックスサーバーは、これを無料でしてくれるようになりました。)
これも、反映に一時間ほどかかる。

一時間後・・・・・

確認するも、以前ウェブ上に反映がされないまま。きちんと、サーバーにはバックアップしたファイルがアップされているのを確認する。

なぜだ?と焦る。まさか、バックアップの取り方事態に問題があったのか、、、、
であれば、最悪一からまたサイトを構築する可能性が出てくる。
もしくは、ワードプレスをエックスサーバーからインストールしてからじゃないとウェブ上に反映されない仕組みとかがあるのだろうか、、、
いろいろな可能性が出てきて、発狂しそうになる。

→頼みの綱、エックスサーバーにアップロードが反映されないことを伝える。

完全に盲点を突かれた回答がかえってきた。(というか知識不足なだけですが)

まず、エックスサーバー上から、ワードプレスを自動インストールをする必要があること。

その後、バックアップをアップする流れとのこと。

しかし、ここまでは自分でも想像して、行っていた。それなのに、反映されないのだ。

つまり、この後が重要である。

サーバー上の初期画面反映を司るファイル

「index.html」は、今回アップした「index.php」よりもブラウザの表示において優先される。とのこと。

こちらのページに記載されているものを引用
https://www.xserver.ne.jp/manual/man_ftp_setting.php

index.html
index.htm
index.shtml
index.cgi
index.php
default_page.html(sv2001~ ※現在募集中のサーバー)
上記はブラウザでの表示の優先度が高い順に並んでいます。
仮に「index.htm」をアップロードした場合、「http://example.com/」でアクセスすると、「index.html」が優先的に表示されてしまいます。
その際は「index.html」を削除することで「index.htm」が表示されるようになります。

「index.html」は上記の、エックスサーバー上からワードプレスを自動インストールした際に、生成されるファイルなので、
これを削除しない限り、反映されないのは当たり前なのだ。なぜなら、今回アップロードしたバックアップファイルの参照を指定するのは「index.php」だから。
(ああ、そんな簡単なことだったのか、よかった)

さらに。
この削除にも、一工夫がいる。エックスサーバー上からなぜか削除できいない、、、という現象が起こる。
そんな時に必要な設定が、こちらにある「文字コード」が影響している。
https://www.xserver.ne.jp/manual/man_tool_file.php

「UTF-8 」を指定しないと削除できないことがある。これも、めちゃめちゃ単純なことなのに、これに気付かないといつまでも
あらゆることを試しながら、
「削除できねーーーっ」と発狂する羽目になる。

見事に、ようやく、反映を確認できた。

→そして、またもや問題が発生する

エックスサーバーから検出してもらった「不正ファイル」を削除し、アップロードし直したが、
最初の、謎のリンク付き文字列が、結局まだ残っているのを確認する。

→つまり、「不正ファイル」を完全に検出できていない。エックスサーバーからは、クリーンなデータのみをアップしてください、
とだけ言われた。あとは、自分で見つけてくれ、ということ。

ない知恵を絞って、「怪しそうな」ファイルをすべて削除して、すべてまた消去し、アップしなおしてみる。
(最初のドメイン削除・SSL化から、やり直し。)

結果。

→何一つ変わっていない。

ここで、また発狂しそうになる。もはや、全削除をして、一からサイトを作るしかないのか、、、と。
それには、膨大な時間と労力を要する。

エックスサーバーに、どうにか策はないか、とメールを入れる。

メールが返ってくる間に、一からサイト構築する羽目になった場合に備えて、
すべての記事をひたすら、HTMLでかかれたテキストに落とし、保存しまくる作業を行う。

メールが返ってくる。

すべてのバックアップファイルをアップすると、どこかに不正ファイルが潜んでいる可能性があるため、
「wp-config」という投稿記事の反映を司るファイルのみを、アップロードするだけで、行けるかもしれない、と。

これでいけたら、神だ。と思い、
またドメイン削除から行い、クリーンにして「wp-config」のみをアップし直す。

結果。

→画像などが少し反映されていないが、ほとんど無傷のまま反映がされている。そして、肝心の謎のリンク付き文字列も、
表示されていない。

長き戦いが、一段落した。

今回の一連のことで、グローバルへの認識が変わった。
世界は、楽しみに溢れている一方で、
凄まじい脅威にも満ちているということ。

海外旅行には、いい思い出しかないから、グローバルへのイメージが「いいもの」だったけど、
そうではないことを、身をもって痛感した。

これからは、安易に世界を目指すことを、やめようと思った。
相当の覚悟を持って、接していくことが必要だと思った。

世界に対して、
「文化を受け入れる、のではなく、文化に立ち向かう」のが大切ではないか、
という言葉が自然と降ってきた。

そして、セキュリティを否が応でも考えさせられる機会となった。

あとは、エックスサーバーにしておいてよかった。
格安サーバーに比べて金額は高くなりますが、対応がしっかりしているので、特に企業などで使う場合には
選択肢に入ってくるのはわかるな、と実感した。

この備忘録が、今後同じような症状に見舞われた人への解決やヒントになれば幸いです。

  • このエントリーをはてなブックマークに追加
kousukearai

kousukearai

投稿者プロフィール

1987年3月18日生まれ。魚座、B型。
群馬県館林市出身。
國學院大学文学部卒業。現在、大阪・梅田在住。
株式会社ARIAという会社で勉強カフェ大阪本町/大阪うめだを運営中。
向上心ある大人たちが気持ちよく過ごせる空間作りを日々探求中。

この著者の最新の記事

関連記事

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

アーカイブ

ページ上部へ戻る