サーバーへの不正アクセス+サイトの改ざんで海外へ大量のスパムメールを送信しアカウントが凍結される

タイトルのままですが、昨日このサイトでも使っているエックスサーバーから、アカウント凍結のメールが届きました。

サイトを更新していたら、急に403エラーが発生し、エックスサーバーで管理しているサイトが全て403エラーになっていたので、なにごと!?と思ったのですが、アカウント凍結のメールが来ていたわけです。

現時点で復旧が完了していますが、備忘録というかこんな事があるということで状況をまとめておきます。

先に原因を申し上げておくと、ヘテムルの「サイト改ざんへの対策をお願いいたします」の3に書かれている「クラッキングツールによってファイルが改ざんされ、スパムメールを大量に送信させられてしまう問題」というのに該当すると思います。

アカウント凍結から復旧までの手順

  1. 突如サイトにアクセスできなくなる
  2. アカウント凍結メールが届いているのを確認
  3. FTPパスワードの変更
  4. 必要なデータをバックアップ
  5. 設定してあるドメインを全て削除(Webデータ・メールの削除)
  6. FTPで残りのファイル削除
  7. MySQLデータベースの削除
  8. アカウントの復旧申請
  9. 一部サイトのサーバー移転
  10. 復旧 ⇒ データアップ完了

簡単にまとめるとこんな感じになります。

突如サイトにアクセスできなくなる

これはかなり焦ります。おそらくアカウントの凍結と警告メール送信が同時に行われていると思うのですが、突然全サイトが403になるのはパニくります。ちなみにエックスサーバーでは15サイトぐらい運営していました。SEOブログや当サイト、保険サイトなどメインサイトが10サイトで、残りはテストサイトです。

エックスサーバーから届いたメールは以下です。

【重要】Xserver ご契約サーバーアカウントからの大量メール送信について

お客様のご利用頂いておりますサーバーアカウントより、 海外宛に数万通を越えるメール送信が 行われていることを確認致しました。   このメール送信に関してお客様の身に覚えのない場合、 以下記載のような原因によりお客様のサーバーアカウントに不正にアクセスされ、 不正なファイルが設置された可能性がございますので 緊急的にWEBアクセスの凍結を行わせていただきました。

当然、身に覚えがありませんし。そんなことになっていたとは知りませんでした。

▼本件の可能性として考えられること

(1)お客様のPCがウィルスに感染した事によりFTPパスワードが流出した可能性

(2)お客様がサーバー上にアップロードしたプログラムの脆弱性を突かれた 事により不正なファイルをアップロードされた可能性(★)

(3)お客様がお使いのFTPパスワードが単純な英単語の組み合わせなど、容易に 推測される文字列であり、パスワードを推測され、乗っ取られた可能性

この度の不正アクセスは上記の可能性の中で、(2)による改ざんの可能性が高いようでございます。

ウイルスチェックではPCのウイルス感染はありませんでした。3についてはありえますが、やはり可能性として高いのは2なのかなと思います。アクセスログを見れば不正アクセスが分かるかもしれないとのことですが、正直15サイト分をチェックするのは大変なので調べていません。

ほとんどがWordPressサイトですが、HTMLサイトでフリーCGIを使っているサイトもあり、WordPressかCGIが怪しいのかなと思います。WordPressのバージョンは3.4.1で、プラグインはアップデートしていないものがありました。

WordPress3.4.2でセキュリティ問題が修正されていたので、アップグレードしようと思っていたのですが、不具合があるとの情報があり、すぐに3.4.3が出るのでは?という話もあり、更新していませんでした。

原因がWordPressにあるのかはわかりませんが、やはりこういったものは最新の状態にしておかなければなりません。特にセキュリティの修正が含まれる時は、多少不具合があるとしても更新しないという選択肢はないですよね・・・

必要なデータのバックアップと削除

一旦全ファイルを削除してとのことでしたので、WordPressサイトのイメージファイル(wp-content/uploads)を中心にサーバー上にしか無いファイルをバックアップしました。危うくイメージファイルをダウンロードし忘れる所でしたが、そのまま削除していたら今頃灰になっていたかもしれません。ただエックスサーバーには、サーバー側で7日分のデータをバックアップしてくれているので、削除してもなんとかなったのかもしれません。

あと重要なのはMySQLデータベースのバックアップですね。WordPressの心臓部分ですので、これを忘れることはありません。

バックアップが終わった所でWebデータやDBを削除しました。知らなかったのですが、ドメインを削除するとデータが丸っと全て削除されるんですね。当然といえば当然ですが、設定してあるドメインの削除で一瞬で全データが削除されるのは爽快です。あとは、FTPで接続して確認できるファイルを全て削除しました。

アカウントの復旧申請とサーバー移転

データの全削除が済んだ所で、エックスサーバーへメールで、作業の完了と原因と思われる物を伝え復旧をお願いしました。原因についての詳細は不明ですが、WordPressが古くプラグインも更新していないものがあった事を伝えました。CGIについては、伝えるのを忘れました・・・あとWordPressの場合、パーミッション設定ミスの可能性もありますね。

メールをしたのが10/3の21時で、その日の復旧は無理だなと思ったので、軽く放心状態になっていたのですが、一つのサーバーにメインサイトを10個も入れておくのは危険だと思ったので、半分ほどサーバー移転することにしました。

そのまま作業するつもりで、新たにX2を借りたのですが、X2はサーバー設定に数時間がかかるようで、すぐに使えなかったので、申し込みだけしてこの日は寝ることにしました。

そして4日の朝、目が覚めるとX2のサーバー設定が完了していたので、5サイトを移転させました。ドメインはそのままなので何のトラブルもなく1~2時間で作業は終わりました。

この時点でエックスサーバーのアカウントが復旧していなかったので、念のためサポートに電話してみたら、現在復旧作業中で午前中には復旧する見込みとの回答をもらいました。がっつりと電話サポートを受けたのは初めてでしたが、かなり良い感じの方でした。

エックスサーバーからエックスツーサーバーへの移転方法

アカウントの復旧とデータアップ完了

その後、電話から1時間もせずに復旧作業完了とのメールを頂き、そこから急いで5サイトを復旧させました。途中1サイトだけ画面が真っ白になるトラブルに見まわれましたが、なんとか無事帰還することができました。WordPressで真っ白画面はありがちですね。

その後、サイトを軽くチェックしてメール設定を行い、すべての作業が完了しました。残りの5サイトについては、放置していたサイトとテスト用のサイトだったので、放置サイトは捨てて、テストサイトは他へ移転させることにしました。

今回の教訓としては、CMSなどのプログラムは常に最新の状態にしておくということと、念のためメインサイトはいくつかのサーバーに分けたほうが良いということですね。以前から、さくらのレンタルサーバやチカッパで分散していたのですが、エックスサーバーはプラン変更して容量を大きくした関係で、かなり詰め込んでいました。

それなりにアクセスのある10サイトでも、サーバーの容量や処理的には全然問題なかったのですが、今回のようなことが今後も起こらないとは限らないので、最大でも1サーバー5サイトにとどめておきたいと思います。

現在、エックスサーバーではWordPressで4サイト、HTMLで1サイト運営していますが、フリーCGIは撤去したので、このあとにまた不正アクセスや改ざんを受取るとしたら、更新が止まっているプラグインが怪しいか、PCが怪しいということになるのでしょう。ただ原因がPCであれば、他のサーバーも影響を受けそうなので、やはりプラグインですかね。

※SEOやアクセス数のことを考えると、サーバー移転したサイトを再びエックスサーバーにも設定した方が良いのですが、5サイトあって3日後には削除することを考えると、面倒だと思ったのでやりませんでした。仮にGoogleが旧サーバーを見に行ったとしても48時間ぐらいであれば問題はないのかなと思います。

【追記 2013/4/15】
海外IPアドレスからのブルートフォースアタックが流行っているようなので注意しましょう。
»ブルートフォースアタックに備え新規ユーザーの追加とadminユーザーの削除方法

管理人イチオシのレンタルサーバー

当サイトでも使っているエックスサーバーは、ディスク容量が200Gと大きく、MySQLが50個まで使えますので、1つの契約でいくつものサイトを運営することができます。

転送量が月2,000G、メモリ192Gと他の格安サーバーでは見られないスペックとなっており、アクセス数の多いサイトや複数のWordPressサイトを運営するのにも向いています。

自動バックアップと電話サポートが付いているので、初心者の方でも安心!

エックスサーバーの無料お試し申し込みはこちら

公開日:2012年10月4日

サブコンテンツ

このページの先頭へ