もしWordPressサイトが乗っ取られても、負けずにやれば、復活できます!
前回、サイバー攻撃からの勝利宣言をしたわけですが、今回はどのように解決できたかをまとめました
取り戻すためのメソッドは大きく3つです
1、一旦バックアップを取得
2、サーバー上の全ファイルを削除してクリーンにする
3、一からWordPressをインストールし直す
ハッキングの始まり 悪夢の前兆
2月23日当たりから突然、不可解なぐらいに当サイトのPV(アクセス数)が激減しはじめる。
それまでもPVが減ったことはあっても、今回のケースは半端ない。
くわしくはこちらに書いたが
ちょうどその頃、ロシア・ウクライナの件で、世界的にサイバー攻撃を受けていたので、たびいちドットコムもその火種を被ってしまったと思われる。
凍結・たびいちドットコムにアクセスできない!
2月28日。PVの転落はとどまるところを知らず、この日は底をついたかのようなアクセスで、18時ごろ、たびいちドットコムを見ようとすると、突然403エラーが出て見れなくなった
同時に、メールが来て、メッセージを読むと・・
サーバー会社運営より来たメッセージ(一部省略)
[SUPPORT] 改竄について
お使いのアカウント内で規約違反行為が行われております。
送信者を詐称したSPAMメールが大量に発信されております。アカウントが乗っ取られた、もしくは、踏み台にされている可能性がございます。
緊急処置としまして、サーバーアカウントを凍結させていただきました。お手数ではございますが、お客様にてバックアップを取得の上、サーバー上の
全ファイルを削除し、脆弱性のない最新版に置き換える等、適切な処置を賜ります
ようお願い申し上げます。また、上記の対応とあわせ、FTPパスワードの変更、FTP接続情報を共有する全PC
のセキュリティチェックを実施の上、ご対応後その旨当フォームのご返信にて
ご連絡ください。【凍結の解除につきまして】
恐れ入りますが、凍結解除につきましては、社内的な最終確認が必要となっております。
そのため、土日祝日など、弊社営業時間外での解除対応を行うことができません。
弊社営業日に、早急に確認の上、対応をさせていただきますので、何卒、ご容赦いただければ幸いです。
どんな状態にされたのか
乗っ取りの内容は、たびいちドットコムからのリンクが勝手に何万件も作られ、そのリンクに行くと、国内のネットショッピングにランダムにリダイレクトされる。異常を感知したサーバー会社からたびいちドットコムが強制凍結されたわけです
そういうハッキング手法をとるということは、ハッカーとってはおそらく金儲けのためだろうけど。
怪しいファイル発見!
まずは、サーバーアカウントのログイン・FTPのパスワードを変更。
そしてFTPソフトや、ブラウザから利用できるサーバー会社のファイルマネージャで
root /public_html /wp-content
を見ると、見たことのないフォルダを発見
root /public_html /wp-content /Fox-C
突如出てきた「Fox-C」というフォルダと、何個かの「bglfgterkhytve7vr」といった羅列的な気持ち悪い名前のPHPスクリプトが新たに追加されていた。
まぎれもなく悪意のあるプログラムだが、もしかしたら普通の既存のファイルもあるかもしれないので、見分け方が迷ったが、決め手は更新日。おかしくなったのはつい最近の2月下旬だったので、その頃にできたファイルを削除。
にっくき悪の枢軸である「Fox-C」が抹消することができなかったが、サーバー会社にて代行削除ができるというので、依頼。無事駆除できた。
ローカル(自分のPC)にバックアップ
悪意あるファイルを除いた後は、ローカル(自分のPC)にバックアップ。
何万枚もの大量の画像などをダウンロードするので、FFFTPなどのFTPソフトを使うよりは、ファイルマネージャを使ったほうが圧倒的に速く確実。ファイルマネージャからまとめてzipでダウンロードできるので、再びアップロードした際、解凍せずともそのままアップロードできてスムーズ。
凍結解除のためにやることまとめ
・webサイトデータ(public_html ディレクトリ以下)をお客様のローカル環境にバックアップ
・サーバー上の指定されたディレクトリ以外を削除
・FTP接続パスワードの変更
・ご利用されているLAN内の全ての端末のセキュリティチェック
・上記全ての対応が完了した旨を当フォームへ連絡
セキュリティチェックは、自診くんを利用しました
https://jisin.lac.co.jp/
ブラウザから簡単にランサムウェアなどを検知できる。幸いPCに異常なし。
以上、全てを行ったので、凍結解除を依頼し、翌日昼前に解除できました
WordPressを再建する
これで一つの難関は突破したわけですが、
もう一つが再建への道。
凍結解除しても、403や404エラーが出てログインできないので、またサーバー会社に相談。
ただしメッセージのやり取りだと返答来るまで時間がかかるし、乗っ取りのようなイレギュラーではなく、インストールとログインの基本操作なので、ライブチャットで相談しながら進めました。
WordPressを再インストールする
何もない空っぽ状態なので、一からWordPressをインストールしなおします。FTPにWordPressのプログラムファイルが展開されました。しかし、ログインできないなどいろいろ壁にぶつかる。
インストールしてもログインできないのは、FTPのディレクトリのフォルダーの配置が間違っていたので、WordPressのファイルを以前と同じように配置しなおし、WEBドメイン設定を指示されたようにしたところ、無事ログイン画面が出てきて安堵しました。
バックアップした画像などをサーバーに戻す
ログインすると、テーマなども変わってしまいましたが、肝心の記事や設定などはデータベース内にあるため、問題なく記事が生き残ってて安堵。
まずは自分好みのテーマに戻し、新たに設定しなおします。
ある程度動くようになったら、緊急性を要しない残りの画像などのアップロードします
ログインしてからの再建も、いろいろ困難がありましたが、それはまた次の機会に。
これで長い戦いが終わりました
ハッキングを防ぐためにすべきこと
ログイン設定を国内のみにする
最大のミスは、おそらく海外からのハッキングと思わるが、以前タイやインドから更新してたので、サーバー設定を日本国内だけでなく国外でもログインできるようにしてたのですが、
日本に帰ったらオフにすべきでした。(この事件が起こるまではそんなこと思いもつかなかったが)
バージョンを最新に
そしてWordPressのバージョンを新しくすると、使いかたが大きく変わったり、従来のテーマやプラグインなどを使い続けたりするとバグやエラーが発生して使いにくくてしょうがないので、あえてダウングレードまでして使いつづけてたら、このザマでした。
必要のないプラグインはいれない
余計なプラグインは使わないどころか(停止してても)入れないようにする。プラグインは海千山千あってマルウェアが含まれてるのもあるため、使わず停止してても悪さするらしい。
パスワードを長くする
WordPressのログインパスワードは8文字のしょぼいパスワード(脆弱と診断された)だったけど、非常に懲りたので、その後は20文字以上の長いパスワードにしました
まとめ なぜサイバー攻撃されたか
たびいちドットコムが狙われた理由は
1、tabi1comというドメイン名が、きわめて短くわかりやすく使いやすいため。
2、普段は人気無いが、記事を書くと時々何千PVにもなったりしたので、人気性をねらって目を付けられたのかも。
そして、WordPressは思った以上に脆弱なので、しっかり防御すべきことを思い知りました
追記:またやられた!検索結果がおかしくなった
6月22日から、またPVが激減していました
検索結果がまた乗っ取られたのです
Googleなどで「たびいちドットコム」で検索するとエプソンのインクカートリッジなどと怪しい通販サイト結果が出てくる。以前の時と同じ改ざんだった。
原因を調べてみると、くわしくは以下のサイトを見ていただくとわかりますが、これと同じ症状だった
検索結果に表示される内容が間違ってる?検索結果と表示されたサイトが違っている時の対処法
https://gray-code.com/blog/web-create/error-of-search-result/
そのため、このサイトの通りにFFFTPでindex.phpを調べると、見事に改ざんされており
fosixtythreejc.marcalyc.xyz
といったおかしなサイトが書かれてるのを発見
そこで、元のWordPressのファイル(wordpress-5.7.2-ja)を展開し、デフォルトの汚れなきindex.phpをFFFTPにドラッグ&ドロップで上書きしなおしました
そして同じころに勝手に追加されたとされるrobot.txtとreport.phpもFFFTPから削除。
ところがそれでも治らないため、
WordPress のサイトが別のサイトに飛ばされるハッキングを受けた時に自力復旧でやったこと
https://clean-copy-of-onenote.hatenablog.com/entry/wordpress_redirect_hacking
を参考に、ウイルスチェックのプラグインWordfence をいれて、Scanしたところ、まだ残っていた悪意ファイルがスキャンされたので、全部を削除。
しかし、そうすると必要なファイルまで削除されて500エラーになるので、さきほどのように元のWordPressのファイル(wordpress-5.7.2-ja)を展開したデフォルトの汚れなきファイルをFFFTPにドラッグ&ドロップでいれたら、元に戻った
そのご、アクセスも元に戻り始め、24時間後ぐらいにGoogleの検索結果も元に戻りました。