誰もが知るお祝い色の強いイベントの日ですね。
街はイルミネーション!クリスマスケーキ!
プレゼントに家族の笑う顔! と行きたかったのですが、、、、
とんでもない事件が起こりました。
お客様のWEBサーバが何者かによって、乗っ取られそうになっていたのです。
何が起こったのかと言うと、、、、、一部のホームページが全く関係のない海外のサイトに入れ替わっています。
何やら海外の通販サイトが強制的に表示されていました。
気が付いたのは社員です。(ありがとう)
気が付いたのが早かった為、以下の作業を社員総出で手分けして実施。
①バックアップファイルからの復元(ロールアップ)
②不正ファイルや改ざんファイルなどの特定
③削除やリネーム、パーミッションの変更 ・・・・①~③を繰り返す
しかし、かなり奥まで入りこまれているせいか、
改ざんされたファイルを消しても消しても、パーミッションを変えても変えても、
元に戻ってしまいます。(間違いなくバックドアがどこかにあります←どこやねん)
置かれた不正ファイルの内容からして、Wordpress(以下WP)の脆弱性をつかれているようです。
ちなみに、当社で制作したWPはサイトガードやディレクトリ構造において、
不正ファイルが置かれにくい構造、ブロックする為のプラグインなどを標準でインストールして制作しますが、
他社さんで制作し、当社で引きついだWPは残念ながらサイバー攻撃への備え、対策が万全ではないケースもあります。
今回はそこからまんまと入られました。(改造されたWPや特に良くわからないプラグインは要注意!)
さて、格闘して8時間、9時間と時間は経過しますが、
一向に不正ファイルの自動再生が収まる気配はありません。
ファイルも何度も書き換えられ、
パーミッションも強制的に000が「444」などに変えられてしまいます。
一度、収まっても深夜にまた再発、嘔吐と吐血を繰り返します。
(まるでインフルのように薬が切れたらまた熱がぶり返すようなイメージです)
とにかくお客様のHPが閲覧できない状況を放置するわけにも行かず、
最優先の超特急でウィルスを封じ込める必要があります。
時間の経過と共にサイバー攻撃の狙いはわかりました
(攻撃の狙いを述べると1日はかかりますので省略します)
さて、、、
困ったぞ。
ついつい心の声が出てしまいました。
「もうかんべんしてください」
↑ かいざんされたファイルにもついつい書いてしまいました(笑)
ーーーー改ざんされたファイルの一部ーーーーーーーーーーーーーーーー
@G3
/*もうかんべんしてください!
/*-LaY[&^GI-*/$v/*-F5Cc.D-*
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
日本語でお願いしても、伝わらないのか、、、やはり効果なし、、、
もしかして、英語で書けば!! (そんな訳ない(笑))
さて、特効薬は効かない、、、
しょうがない
アレを使うしかないか、、、※企業秘密
(実はアレというのは地味な作業のことです(笑))
というわけで当社のスペシャルブレンドのタミフル(アレ)でお客様のサーバも完治。
そんなこんなで年を越えて、1月6日
何とか終止符を打てました。
(クリスマスからずっとこんなことを・・・)
・・
今年も結局、年末年始急業になってしまいました。
~あとがき~
DNSのレコードを大幅に変更する関係で副作用(表示が不安定になる)はありますが、
正常化するまでに12時間程度、慣らし運転を経て正常な状態に、
ようやく落ち着いたのが1月6日という長丁場の戦いでした。
ログを見てみるとアメリカからの不正アクセスの痕跡が。
X'masなだけにキリスト教の国からのプレゼントでした。(笑えない)
これが、
X'masから年末年始にかけての事件の内容です。
(休み中にも係わらず快く協力してくれて、
共に戦ってくれた増沢さん、本当にありがとう!)
WPでホームページを制作された会社様、
WPのセキュリティ対策は万全にしてくださいね。
それでは本年が皆さまにとって良い年となりますように! (長浜)
