WordPress不正アクセスでXサーバーよりブログアクセス強制停止!? その後何とか復旧したって話

雑記
スポンサーリンク

こんばんは。

ちょっと間が空いてしまって恐縮がちなペロティです。

どぞ、よろしく。

急にブログがアクセス停止に

インスタやツイッターにはアップしてましたけど、数日前に当ブログは急にアクセス停止となってしまっていました。

ブログの停止に気づいたのは3月19日。その日はちょうどかいの小学校の卒業式があり、私も有休をとって参加してました。

卒業式が終わった後は家で仕事をしていて(有休なのに!)、夕方にようやく解放され、さて、卒業しましたよー的な記事でもアップするかと、WordPressの管理画面にアクセスしようとすると…

ペロティ
ペロティ

な、なんじゃ、こりゃあぁぁ!!

いきなりの403Forbiddenエラー。。。 管理画面だけではなく、通常のブログのサイトにアクセスしてみると、どこにアクセスしてもすべて同じ403エラー表示に…

マジで焦りましたよ。何が起こったのかと…

最初に思ったのは、レンタルサーバで利用しているXserver側で何かあったのではないかということ。障害だったり、メンテナンスだったりとか。

そこで、Xserverのサイトにアクセスしてみるも、特に障害やメンテナンスの事実はなさそうな感じでした。

その後、メールを確認していくと、Xserverからこんなメールが来ていたことに気づきました。

件名:【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について

平素は当サービスをご利用いただき誠にありがとうございます。
エックスサーバー カスタマーサポートでございます。

XserverアカウントID:○○
サーバーID :○○
ドメイン名 :○○
お問合せ番号:○○

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容

・当該ドメイン名に対する緊急的なWebアクセス制限を実施

 ※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。

さらなるスパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』による被害の拡大を防ぐため、上記対応を実施しましたことを
何卒ご了承くださいますようお願いいたします。

不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。

ふむ…、なんだかいろいろ書いてありますけど、要するに…

おめーのサーバーがさー、誰だかわかんねーヤツから不正アクセスで悪用されて大量のスパムメール送ってっからよー、とりあえずおめーのサーバーぜーんぶ止めたから。そこんとこよろしく。

てな感じってことですな。

原因は?

不正アクセスの原因は何だったんでしょうか?もう少しメールを読み進めてみると、原因らしいことも書いてありました。

まず、メールには検出された不正なファイルがいくつか記載されていました。

そのファイルの場所を見ると、掲示板系のプラグインが悪さをしているようでしたが、このプラグイン自体、私はインストールした記憶はなかったんですけどね。。。

不正アクセスされて、インストールされたんでしょうか、恐ろしいですね。。。

そして、不正アクセスの根本原因についてもメールに記載がありました。

▼不正アクセスの根本原因
————————————————————
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
 致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。

 →該当プログラムが「どんなコマンドでも実行可能」である場合、
  該当プログラムを経由して不正なコマンドの実行や、
  不正なファイルの設置が行えてしまいます。

(2)お客様のサーバーアカウントに関するFTP情報が流出し、
 第三者に不正にFTP接続をされた。

 →FTP操作自体によるファイル改ざんはもとより、
  任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
————————————————————

お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。


また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordPressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。

CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。

これを見る限り、FTP情報が流出したわけではなく、今回はプログラムの脆弱性を悪用された可能性が高いようです。WordPressの管理パスワードが流出や総当たり攻撃などをされたわけでもなさそうでした。

復旧方法は?

何となく不正アクセスの理由はわかりましたが、復旧方法はどうなんでしょうか。メールにそのあたりも書いてありました。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

次項【3】の [2] に記載しております「ドメイン設定の初期化」を行って
いただくことで、Webアクセスの凍結が自動的に解除され、
該当ドメイン名へのWebアクセスが可能になります。

 ************************************************************
  この度のような不正アクセスの被害に遭われた場合、
  検出された不正なファイル以外にも、他の不正なファイルや
  バックドア(不正アクセスを容易とする仕組み)などが
  設置されている可能性が考えられます。

  そのため、凍結の解除にあたっては、検出された不正なファイルだけではなく、
  当該ドメイン名に存在するすべてのファイルを削除していただくよう
  お願いしております。
 ************************************************************

えーと…、けっこう厳しそうな内容が書いてありますね。。。

ここにある通り、「ドメイン設定の初期化」をする必要があるようです。初期化…、もう、その響きだけで簡単に済む内容ではないことは理解できました。。。

その後も実際にやるべきことが書いてありました。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】お客様に行っていただきたい対応内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様のPCや運用中のサイトのセキュリティ対策は
お客様ご自身にて管理を行っていただく責任がございます。

この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや
改ざんされたファイルをサーバーアカウント上から完全に駆逐するため、
大変お手数ですが、下記作業をなさいますようお願いいたします。

───────────────────────────────────
[1] ご利用のPCにてセキュリティチェックを行ってください。
———————————————————————-

(中略)


───────────────────────────────────
[2] 該当ドメイン名を「初期化」してください。
———————————————————————-

 「サーバーパネル」→「ドメイン設定」→該当ドメインの「初期化」と
 アクセスしていただき、「ウェブ領域・設定の初期化」をご選択のうえ、
 該当ドメイン名を初期化してください。

 ※上記作業により、該当ドメイン名のウェブ領域に設置された
  すべてのファイルが削除されます。

  画像、プログラム、設定ファイルなどの必要なデータは
  事前にバックアップを取った上でドメイン名を初期化してください。

 ※上記作業による、データベースの初期化・削除はございません。


───────────────────────────────────
[3] FTPソフトによるデータアップロードなど、
  ホームページ再開のための作業を行ってください。
———————————————————————-

(中略)


───────────────────────────────────
[4] 該当ドメインにて設置されていたプログラムにおいて、
  脆弱性の調査を必ず行ってください。
———————————————————————-

(中略)


───────────────────────────────────
[5] 設置されているWordpressの管理パスワード変更してください。
———————————————————————-

(中略)

───────────────────────────────────

ふむ…、ドメインを初期化するやり方が書いてあります。ま、初期化自体は難しいことではなさそうですが、当然のことながら、いきなり初期化してしまうとブログ自体が吹っ飛んでしまうことになってしまいます。

おそらくバックアップを取ってから初期化しなければいけないんでしょうけど、正直何をどうすればいいのかさっぱりわかりません。

そんなときに頼るべきはやっぱりGoogle先生ですよね! ということで、さっそくググってみました。

参考にさせていただいたサイト

ググってみると、やはり私と同じような目にあってる方がいるのがわかって、ちょっとほっとしましたw そして参考にさせていただいたのは下記のサイトです。

非常に参考になりました。ありがとうございましたー。勝手にリンクしてしまってすみません。

実際にやってみた復旧作業

ここから実際にやってみた作業を書いていきます。

PCのウイルス等のセキュリティチェック

まずは、XserverのメールにあるようにPCのセキュリティチェックを行いました。

ただ、もともとPCに入れていたセキュリティ対策ソフトは無料のものだったのですが、これを機に有料版にアップグレードしておきました。

いや、ちょっと前からアップグレードしようかなーって思ってたんです。

サーバデータのバックアップ

Xserverのメールでは、続いて「ドメインの初期化」となっていますが、バックアップを取らないと飛んでしまいます。

ということで、上の方で書いたサイトを参考にバックアップを取ることにしました。

バックアップは、FTPソフトを使って行います。

私は、ナチュログから移転した際にFFFTPという定番のFTPソフトを使用していたので、問題なかったんですが、こうなって初めてFTPソフト使うという人も多いかもしれません。

XserverでのFFFTPの使い方は、Xserverのサイトにも載ってますのでそちらを参考に。

FFFTP設定手順 | レンタルサーバーならエックスサーバー
レンタルサーバー「エックスサーバー」のご利用マニュアル|「FFFTP」を用いてご契約中のサーバーアカウントへFTP接続をするための設定手順について記載しています。

で、バックアップを取るところはどこなんでしょうか?本当はいろいろと怖いので全部バックアップを取っておきたいと思うところなんですが、容量が重すぎてなかなか困難とのこと。それに、不正なプログラムなども一緒にバックアップをとることになり、バックアップを戻す際にまた同じようなことになってしまう可能性もあります。

では、どこをバックアップを取ればいいのか?

参考にしたサイトによると、バックアップを取るところは下記の2か所とのこと。

  • /ドメイン名/public_html/ の wp-config.php ファイル
  • /ドメイン名/public_html/wp-content/uploads フォルダ

wp-config.phpファイルは、データベースに接続する情報が記載された重要なファイルです。

uploadsフォルダは、主にアップされている画像などが保存されているフォルダです。

FFFTPでのバックアップはめちゃくちゃ時間がかかる!

wp-config.phpファイルはそうでもないのですが、アップしている画像枚数にもよりますが、uploadsフォルダは大概かなり重いと思います。私も60000ファイルほどここにあり、バックアップにかなり時間がかかりました。FFFTPを使ってバックアップを取ったんですが、このフォルダをバックアップ取るのに丸2日ぐらいかかりました。

あ、あとで書きますが、FFFTPは大量のファイルの転送には向いてないようです。私は大丈夫でしたが、大量のファイルを転送しようとすると止まってしまうことも多いらしいです。正直最初から後述する「FileZilla(ファイルジラ)」を使ったほうがいいかと思います。

そんな感じで時間がかかりながら、何とかバックアップが完了しました。

本当はアクセス停止が発覚した3月19日中に復旧できたらしたいと思っていました…。というのも、この翌日の3月20日から2泊3日でキャンプの予定だったのですよ!

3月19日中に復帰できなければ、3日間ほどアクセス停止状態が継続することが確定してしまうのですが…、このバックアップが予想以上に時間がかかることがわかって、早々にこの日中の復旧は断念したのでした(´Д`)

他のファイルはバックアップ取らなくてもいいの?

あと、個人的には、本当にこのファイルとフォルダのバックアップだけでいいのか不安でした。

というのも、バックアップ取っているのはwp-config.phpファイルというのと、画像のフォルダだけですからね。肝心な記事などのコンテンツ系はバックアップ取らなくていいのか!?と不安になったんです。

でも、後々調べて分かったんですが、そういうコンテンツは別のデータベースに保管されているんですね。今回のドメイン初期化ではこのデータベースは初期化されませんので、問題ないということのようです。

プラグインはメモっておこう…、でもどうやって?

ただし、今回のこの方法では、プラグインやテーマは再度入れ直す必要があるようでした。ちなみにこれらもFTPでバックアップを取ることができるのですが、今回は不正なファイルが含まれている可能性が高いので、これらはバックアップは念のためにとってみたものの復旧はしませんでした。

そして、ここでちょっと困ったのが、入っているプラグインのメモ。

何が入っているかメモりたいんですが、そもそも管理画面の403エラーで入れないので、確認しようがありません。。。

そこで、見てみたのがスマホのWordPress管理アプリでした。

WordPress photo

WordPressアプリはログイン可能でしたので、ここでプラグインのページを開いて、画面キャプチャーを開いて入っているプラグインを記録しておきました。

ドメイン設定の初期化

バックアップを取ったらいよいよドメイン設定の初期化を行います。

手順はメールに書いてあった通りで、Xserverのサーバーパネルから行います。

さすがにドキドキしました。

今回、私の場合は「ウェブ領域・設定の初期化」でしたが、状況によっては「ドメイン設定の初期化」になる人もあるみたいです。Xserverから送られているメールの指示に従いましょう。

そしてドキドキしながら初期化を実行しました。

ま、いざ初期化してしまったら、あきらめというか、なんとなく逆にすっきりしましたけどねw

他のサイトを見ると、ここでメールなどを送って、Xserverにアクセス制限の解除依頼をしなければいけなかったりするみたいなのですが、私の場合は上の方で公開したメールにもある通り、この初期化を実行すれば自動的にアクセス制限は解除されるとのことで、実際にそのまますぐに解除されてました。

WordPressの再インストール

まずやらなければいけないのはWordPressの再インストールです。これはXserverのサーバーパネルから簡単に行うことができます。

やり方がわからない人はググってくださいね。いっぱい出てくると思いますので…

バックアップデータのアップロード

続いて、バックアップを取ったデータを再度FTPソフトでアップロードします。下記のファイルですね。同じ場所にアップロードしましょう。

  • /ドメイン名/public_html/ の wp-config.php ファイル
  • /ドメイン名/public_html/wp-content/uploads フォルダ

大量データの転送ならFFFTPよりもFileZillaが断然おススメ

ここで、私の場合は引き続きFFFTPを使ってアップロードしようとしたのですが…

これが、まあ、めっちゃ時間がかかる!

uploadsフォルダなんですが、丸1日アップロードしてても半分ぐらいしか終わらないという状態でした。

そこで、FFFTPをあきらめ、FileZillaというソフトを使ってみることにしました。

XserverでのFileZillaの設定方法も公式サイトにありますので参考にしてください。

FileZilla設定手順 | レンタルサーバーならエックスサーバー
レンタルサーバー「エックスサーバー」のご利用マニュアル|「FileZilla」を用いてご契約中のサーバーアカウントへFTP接続をするための設定手順について記載しています。

で、FileZillaで改めてアップロードしてみると…、なんと30分ぐらいでサクッと終わるじゃないですか!

ペロティ
ペロティ

なんで最初からFileZillaを使わなかったんだろう…

おそらくダウンロードももっと早く終わってたんでしょうね。。。 みなさん、大量転送は絶対にFileZillaの方がいいですよ。。。

テーマやプラグインのインストール

後はテーマやプラグインもインストールしていきました。プラグインに関しては、ブログ移転時にしか使わなかったものもたくさんあったので、それら余分なモノは入れないようにしておきました。ムダなプラグインはまた不正アクセスのもとになるかもしれませんからね。

テーマを入れた後は、若干テーマの外観などの設定(トップ画像やタイトル文字)、あとはアドセンスの設定などを行いましたが、大半はそのまま特に問題なく元通りになりました。

思ってたよりも簡単に復旧できて、設定しなければいけないことも意外と少なかったというのが印象ですね。

まとめ

とにかく急なアクセス停止でかなり焦りましたが、今はやっぱり情報化社会ですね。こういうことも対策してくれているブログがちゃんと存在します。ありがたいことです。

また、今後はこのようなことがないように対策をしておく必要があるなと思いました。

今回の教訓として下記のことを今後徹底しておこうかなと。

  • PCにきちんとセキュリティ対策ソフトを入れておいて、最新状態を保っておく
  • Windows Updateも忘れずに行う
  • 不要なテーマやプラグインは入れない、削除する
  • WordPressのログインパスワードの変更

独自ドメイン取って、レンタルサーバを利用していると、こういう事態にあっても自分で解決しなけばいけません。当たり前のことですが、そのあたりの厳しさを身をもって感じた出来事でした。

もし同じような目にあった方がいたとして、ここを見られた方には、絶対に復旧できますよとお伝えしておきたいですね。

コメント

  1. クォーツ より:

    こんにちはクォーツです。今回の不正アクセス大変でしたねちょっと他人事ではないなぁと思いながら読んでいました

    パソコンのセキュリティを強化してたら今後は防げるのでしょうか?

    今回の記事大変参考になります。
    そして無事に復活おめでとうございます

    それと、記事中の口開けたモンキー可愛いですね

    • ペロティ ペロティ より:

      クォーツさん

      こんばんは
      ご心配おかけしました。
      ありがとうございます。

      ブロガーでしたら他人事ではないですよね。
      お互い気をつけましょう。

      PCのセキュリティ強化しても、残念ながら防ぎ切ることはできません。
      今回のようなパターンは、むしろPCのセキュリティはほぼ関係なかったかと。

      でもセキュリティ対策はやっとくに越したことはないかと思います。

      記事、参考になりましたか?それなら嬉しいです。

      モンキーはフリー素材なんですが、人間でいいのがなかったのでテキトーに使ってみましたw

タイトルとURLをコピーしました