ワードプレスが多数入ったサーバーが丸ごとハッキングされたようです。
忘備録と対策を残しておきますので、もしご自分のサイトがおかしい・・と感じた時の参考にしてみてください。
ハッキングされたサーバーの状態とハッキングに気づいた理由
まず、サーバーはエックスサーバーでした。
そのサーバーの中にはマルチドメインで複数のドメイン、複数のサイト、HTMLの静的サイトから複数のワードプレスサイトが混在していました。
そのサーバー内のサイトの中には、常日頃から更新をするサイトもあれば、しばらく放置されているものなどさまざまでした。
なぜ、おかしいと気づいたかというと
グーグルサーチコンソールから届いたメールです。
「http://www.xxx.xxx.xxxの新しい所有者を追加しました」
ん??
私はサイトを複数で共有はしていませんし、特に所有者を追加した覚えもありません。
それ以前に、メールに【追加した】というメールアドレスに見覚えもありませんし、誰だか知りません。
なんかおかしいな・・と感じて、該当するサイトを見てみたら「真っ白」。
数日前は普通に閲覧できていたはずでしたが、その日は特に更新はしていませんでした。
慌ててグーグルサーチコンソールからのメールに書かれている「ユーザーを管理」というボタンを押し、知らないGメールアドレスの削除を試みましたが「承認されているので削除できません」というようなメッセージが出ました。
所有者を確定させるために、サーバー内にアップロードする「確認用のレコード」をアップロードしますが、どうもそのデータを使って所有者になっている模様。(googleXXXXXX.htmlというようなデータです)
サーバーを確認しましたら、これかな?と思うHTMLデータがあったので削除。(もともと残っていたのかは謎)
再度サーチコンソール(ウェブマスターセントラル)に戻って該当するメールアドレスを「未確認」とすることで対応しました。
サーバー内の更新日時を確認すると勝手に更新されているデータを発見する
不審な動きをしたサイトのサーバーにFTPで確認したところ、数日いじっていないのにも関わらず、最近更新されている日時が記されたデータが複数あるのに気が付きました。
- .htaccess
- index.php
- robots.txt
が身に覚えがないのに更新されており、
そのほか
- wikiindex.php
- 3index.php
- old-index.php
- xmrlpc.php
- wp-load.php
- wp-info.php
というデータができている。
また、ワードプレスだけではなくHTMLのサイトでもフォルダというフォルダ内にすべて「.htaccess」データができている!!
まずは、不審な「.htaccess」を削除。
ワードプレスに入って、再度パーマリンクを生成。
使用しているテーマ(thame)フォルダ内にも「.htaccess」が生成されており、テーマフォルダ内の .htaccess を消さないとサイトが表示されないことが判明。
また、ログインができないサイトの場合、「wp-admin」フォルダ内の「.htaccess」を消すことでログイン画面が表示されることが判明。
ワードプレスを使っていないサイトにも不審なデータができていることが発覚
ワードプレスを使っているサイトだけではなく、HTMLで作っていたサイトにもなぜか
- wp-info.php
- index.php
- .htaccess
- wp-booking.php
- admin.php
- wp-adminフォルダ ⇒空
- auto_seo.php
- old-index.php
と本来ワードプレスと関係ないフォルダにもワードプレスを思わせるデータが生成されていることが判明。
そして、これらのデータは絶対ではなく、同じようにHTMLだけのサイトでも「wp-info.php」だけの場合もある。
一度バックアップからデータを戻して比較した結果、改ざんに時間差があることが発覚
エックスサーバーには自動バックアップ機能があり、データを過去に戻すことができます。
その機能を使って、戻せる範囲での過去に遡ってバックアップを戻したところ、改ざんが行われている日時の1週間前に、すでに不審なデータが生成されているよう。
つまり、実際には改ざんまだされていないが、先に不審なデータがアップロードされていて、その1週間後に改ざんが行われているような動きがある。
とにかくサイトを閲覧できる状態にするためにバックアップから復元する
エックスサーバーの自動バックアップから戻せる範囲のバックアップを復元しましたが、残念ながら私の場合はすでに不審データが入ってしまっている状態にしか戻せませんでした。
とにかくとにかく、「.htaccess」が山ほどできているので、FTPソフトの「WinSCP」を使って、サーバー内を「.htaccess」で検索。
できてきた.htaccessをすべて削除。
まぁー、見てやってくださいよ。この.htaccessの量を!!!
一部、プラグイン内に【入っているべき.htaccess】もありますが、基本同じ日時のものを削除し、プラグインで必要だった場合にはプラグインを入れなおすことで対応しました。
ワードプレスを本体とプラグインを最新にし、セキュリティソフトをインストールする!
次に、まずはワードプレスとプラグインを最新にし、一応のためパーマリンクを再度保存。
・All in WP Security&Firewall Plugin
・ワードプレスドクターの「Malware scanner」をインストールし、スキャン
⇒マルウェアスキャナープラグインはワードプレスプラグインの検索には出てきませんので、こちらからダウンロードしてインストールを行います。
ワードプレスドクターマルウェアスキャナープラグイン
サーバー内のWAF設定とWordpressセキュリティ設定を強化する!
エックスサーバーのコントロールパネルにある「WAF設定」と「Wordpressセキュリティ設定」を確認すると、一部のドメインで「WAF設定がOFF」になっているものを発見。
以前に「WAF設定をON」にするとプラグインがあった(ような)あり、OFFにしたままになっていました。
ただ、この場におよんでプラグインを優先する場合でもないので、セキュリティというセキュリティはすべて強めることにしました。
これでいったんサイトは見れるようになりましたが、数日後また怪しい動きが・・
一旦はこれで様子を見ていたのですが、数日後またグーグルサーチコンソールからメールが。
「サイトhttp://www.xxx.xxxx で「パンくずリスト」の問題が検出されました」と。
パンくずリストの問題って今までありまなかったので??と思い見てみますと、メニューバーからリンクを張っていたページが改ざんされており、なぜか自転車のパーツ屋さんのページになっている!!!!
ただ、この時、サイトを確認しましたら先日の改ざんの内容がサーチコンソールにひっかかり、時間差でアナウンスがあったよう。
実際には元に戻っていましたが、どうやら改ざんに気が付いて修正するまでの1日くらいは改ざんページになっていたようす^^;
それから、数日前に元に戻したはずの「.htaccess」もまた元に戻っている感じ・・
時系列からいうと、1週間後にまた改ざんがなされるかもしれない・・という予測^^;
で、やはり怖いのでセキュリティをさらに強めた方が良いと感じ、以下を行った
- ワードプレスのパスワードを変更(ワードプレスのダッシュボードで行う)
- ワードプレスのログインページのURLを変更(「Malware scanner」内で可能)
- FTPパスワードの変更(サーバーの設定で行う)
- 不審なIPの個別ブロック(「Malware scanner」内で可能)
本来であるなら、ワードプレスを一式入れ直す方が良いらしいのですが、今回はサーバー丸ごと侵されている感じがあって、すべてを再インストールするのは・・ちょっと至難の業。
しかも、すでに汚染されたデータしか手元に残っていないため、All in one migration を使っても意味がなさそうなので、なんとかセキュリティを強めて対策をしたいところです。
これを施してしばらく様子を見ますが、何か変化がありましたら当サイトで報告いたします。
コメント