2022年初の更新なわけですが・・・新年早々、このサイトが消えまして、あれこれやっているうちにもう10日。
SNS等ではサイト改ざん被害に遭った、とざっくりお詫びのご報告をしていましたが、無事復旧しました。ご心配、ご迷惑をおかけしました・・・
なにが起こっていたか、顛末を少々ご報告いたします。
この「石田洋介公式サイト」は、設置から管理運営まですべて石田洋介がおこなっています。
なにか不具合が発生したときも、自力でなんとかする以外、手立てがありません。
なるべく不具合の起きにくい、手間のかからない方式での管理運営のため、Wordpressをもちいたブログ形式でのサイト構築を採用しています。
現在のデザインになる前は、Movable Typeを使っていました。Movable Typeもお手軽なサイト運営には便利なプログラムだったので。
が、契約しているホスティングサーバ(ロリポップ)ではWordpressの方が後々ラクかもしれないな、と、2017年のサイトリニューアル時に思い切って乗り換え。
旧サイトからの移行は、当時は手入力でやったような気が・・・しかし全ての記事を移行できるはずもなく、過去記事の大部分はMovable Typeのフォルダと一緒に、サーバ内にとりあえず放置されることになりました。
時は流れ、2021年11月。突如ホスティングサーバから「メール送信件数の上限を超過しています」というメールが。
契約しているサーバのあなたのアカウントから、一晩のうちに300通ものメールが送信されたので、今はメール送れなくしてあるよ、時間経てば元に戻すよ、という内容。
まったく身に覚えがないので、そのメールの続き↓
■メールの送信にお心当たりがない場合
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
メールの送信にお心当たりがない場合、WEBサーバーに
存在するファイルから自動的にメールが送信されていたり、
メールを送信するための不正なファイルが第三者によって
WEBサーバーに設置され、悪用されている可能性がございます。
お手数ではございますが、順に以下の対策を行ってください。
まじか!対策せにゃならん、ということで久しぶりにサーバの中身を見てみると・・・
置いた記憶のない、暗号のような名前のファイルで、サーバ内がびっしり埋め尽くされていました。
タイムスタンプを見てみると数日前から、時間帯は毎晩午前3〜4時頃にかけて、それらのファイルが作られているように見える・・・
そして一番怪しいフォルダを見つけました。「Fox-C」という初めてみるフォルダ。設置されたのは数日前。
このフォルダ、削除しようと試みましたが、削除できません。
暗号みたいな名前のファイル達は削除できるのですが・・・
こうしているうちにも見知らぬ誰かにメールを送ろうと企んでいるかもしれないこの悪意ある行為を、とりあえず止めるには・・・
まずは各種パスワードのリセット、再設定。
FTPアクセス制限の設定。
WordPress本体・プラグイン・テーマをすべて最新バージョンへアップデート等々。
ホスティングサーバがおすすめしてくる対策を片っぱしから実施したところ、翌日からは不審なファイルは確認できず、サーバからのアラートメールもなくなり、なんかわかんないけど解決したっぽい、と安心しておりした。
そして2022年1月2日夜。これはサーバ内のいろんなファイルの書き換えられた時間から、その頃からなんだろう、という予測ではあるのですが・・・
サイトが見えなくなりました。
Twitterでファンの方から「見えない」とお知らせがあり(たぶん1/4頃)サーバ内を確認したところ、やはりまた、不気味なファイルが無数にできています。さらに今度はFox-Cに加えて「Fox-C404」というフォルダが増えていて、これも削除できません。
こりゃ無理だとホスティングサーバのサポートに問い合わせると・・・
お客様のサーバー上のデータについては、Movable Typeの脆弱性を悪用され
不審なファイルが設置されている状況でございました。
そのため弊社にてFTP上の不正に改ざんされた恐れがあるファイルに対して
アクセスができないよう、属性(パーミッション)を変更させていただいております。
数年前に使うのをやめたMovable Typeをサーバに放置していたら悪用されてしまったと。
とりあえず、権限を変更すれば悪さは阻止できそうなのか。
サイトの非表示については、上記改ざんファイルや、「.htaccess」ファイルが
改ざんされている状況などが影響しているかと存じます。ご確認いただき
必要に応じて修正等を行っていただけますようお願いいたします。
いろんなものが書き換えられているのかもしれない、自力でなんとかできるのか・・・
というわけで、この時点でSNS等で皆様にお詫び。そしてサーバ内の大掃除開始。
書き換えられたファイルをバックアップから戻してあげれば簡単に復旧できるのですが、しばらくバックアップとってませんでした(哀)
ホスティングサーバ側で属性変更してもらったファイルはもう使っていないものだったので削除。ついでに放置していたMovable Type関連のファイルも削除!昔の記事なくなっちゃうけどやむを得ません。
次にタイムスタンプを確認して、2022年に更新されている怪しいものは全部削除!
しかしサイトは復活しない。Wordpressは動いているし、データは残っている。
もうめんどくさいや、とWordpressを再インストールすることを決意。
uploadsとthemesとpluginをサーバへ戻して、wp-config.phpのデータベース接頭辞を書き換えて、サイトは無事復旧。ついでだったので「石田洋介徒然」をカスタム投稿へ移動させました。
しかし怪しいファイルの総大将「Fox-C」「Fox-C404」フォルダの削除がまだです。
サポートからは、こちらで削除はできるが同様の依頼が多数のため時間がかかるとのお返事が。
とりあえずこいつらの権限を000に変更し、削除が完了するのを待ちます・・・
というわけで、現在、削除を待っている状況です。
使わなくなったものは捨てなきゃダメですね。過去とはきっぱり決別しなければ悪用されかねない、という教訓でしょうなぁ・・・
ご心配をおかけしました。
2022年も「石田洋介徒然」をよろしくお願いいたします。
