Site hacking

「あんたのサイトに変なプログラムが設置されて大量に迷惑メール送っとるで!」って内容の警告メールがレンタルサーバーから届いたので、先週の金曜日からブログの公開を一時的にストップしてました。

一時は中身ぶっ飛ばしたりしちゃったけどなんとか復旧。ふたを開けてみれば実にくだらない結末だったんだけど、まぁ一応一段落したということで事の顛末をメモっておこうと思います。

2013/07/19 12:00 記事消失

ことのはじまりは先週末の金曜日こと2013年7月19日(金)のお昼頃。ブログ、thikasa noteを書いている@thikasaさんから「Diwao2.0の記事が見れなくなってますよー」と連絡をもらったことで最初の異変に気づきました。

自分のブログを見てみたら確かに記事が何も無かったんですよ。確か「No entry〜」みたいな感じで「このブログには記事がまだないよ」っていうメッセージが表示されてたと思います。

「あれ、なんか設定とか変えたかなー?」と思って管理画面にログインしたわたしを待っていたのはまっさらな投稿一覧。560件くらいあった記事がキレイさっぱりなくなって「0」になっとる。

「これ、まじめにヤバいやつや……」

ってことで即レンタルサーバーの問い合わせフォームから状況の説明と解決策を求めるメールを送信。まぁでもこの時はまだ気楽なものでした。

2013/07/19 18:00 鳴り止まない警告

夕方になっても問い合わせの返事は来ない。代わりにレンタルサーバーから何通も同じメールが届いていました。文面はこんな感じ↓

User account under client ‘名前 (*\**-***)’ tried to use more ‘MySQL データベース’ resource than can be provided by the client account. The operation that tried to use more resources was blocked.

よくわからないけど、「サーバーに負荷かけすぎ!」みたいな警告だと思われます。これと同じのが15時から1時間おきに届いてた。あれ?ぼくなんかしちゃいましたかね。

2013/07/19 18:30 不正アクセスのお知らせ

上記の警告メールに続いてレンタルサーバーから届いたのはショッキングな内容のメールでした。概要を箇条書きにするとこんな感じ。

  • あなたのホームページ内に不正なプログラムが設置されました
  • そのプログラムから大量にメールが送信されている
  • レンタルサーバー側で不正なプログラムに外部からアクセスできないようにした
  • FTP接続を行って該当のプログラムを確認してほしい
  • FTPアカウントやパスワードが解読されたか、脆弱性を突かれて悪意のあるプログラムが設置されたと思われる
  • FTPのパスワードすぐ変えた方がいいっすよ

これ、俗にいう不正アクセスってやつですやん。

もしウイルス的なやつだったら、見に来た人にも迷惑かけちゃうかもしれない、と思ったのでここでサイトを一時的に閉鎖。ここ最近色々とハッキング系の話題が多くて物騒だなーと思ってたらまさか自分がその被害に合うなんて。。。セキュリティの重要性を身をもって感じました。

2013/07/19 19:00 問い合わせの返信有り

ここでようやくお昼に問い合わせた「記事が消えた」っていう件についての返事が到着。ここまでの流れから考えれば、当然不正なプログラムの影響なんだろうと思いきや、メールにはそんなこと一言も記載されていないっていうね。

曰く、データベースのテーブル「wp_posts」が破損していたことが原因。サーバー側で修復を行ったので現在は正常に利用できます、とのことでした。

確認してみたら確かに記事は復活してるっぽい。でも、その破損の原因って不正なプログラムなんじゃないですか?と思ったので追加で問い合わせてみることにした。

聞いた内容はざっくりこんな感じ。

  • さっき別のメールで不正なプログラムが設置されたって言われましたが
  • テーブルの破損はその影響じゃないでしょうか?
  • これってウイルスみたいに広がっちゃいますか?
  • とりあえずFTPのパスワード変更したけど、この後どうしたらいいですか?

緊急事態だから早めに返事ほしかったのですが、土日はサポートが休みらしく返事は月曜日まで保留ということに。よくわからん状態のまま待つしかない週末ってのは中々ストレスが溜まるものでした。

2013/07/22 18:00 間違い……だと?

で、月曜日。週があけてようやく返事が来たわけですが、、、結論から言うと「不正なプログラムが設置された」というのは間違いだったそうです。。。

「従って対応の必要もありません。ご迷惑をおかけして申し訳ありませんでした。なお、データベースのテーブル破損の原因については詳細がわかりかねる状態となっています」……と、そういう返事でした。

あ、あんなに警告メールとか送ってきておいて間違いだったとか……。いやね、本当なら良いんですけど、ちょっと簡単には信じられないっていうのが正直なところです。

まぁでも、一応データのチェックとかはしたうえで不正なプログラムがないって言っているんだろうし、前がどうだったにせよ今は健全な状態だということは確かっぽい!という判断でとりあえずブログの公開を再開することにしました。

勢いでテーマも変えてみたので何かおかしなところがあれば教えていただけると助かります。

解決なんだろうか……

なんか腑に落ちないけど、とりあえず一件落着……と言って良いんでしょうかね?でもやっぱり怖いからサーバーの引っ越しも考えよう。最近海外からの過剰アクセスとかで重くなってたりもしてたし、良い機会だからそうしよう。

あと今回はセーフだったのかもしれないけど、どちらにせよセキュリティについてもっと真剣に考えなくちゃいけないなと思いました。それ系の対策も真面目にやってたわけじゃないので色々調べてみようと思います。

いやー、スッキリしないわー。ではまた。