前回、ワードプレスで作ったサイトが不正アクセスにあったぜ!・・という話題を書きました。
サーバーはXサーバーなんですが、それについてXサーバーが対応をして結果的にウェブサイトは停止した状態に。
なので、その問題点を排除して復旧させないといけなかったわけで。
でもそこはXサーバー、手順なども示してくれているのでおおよそはその対応で済むと思われ。
詳しくは・・
こちらのサイトで詳細は書きますので簡単にご説明。
まずはPCの状態チェック。
ウイルスチェックをします。
そして更新がないか確認し最新版にしておきます。
次に修正か初期化のどちらにするか?・・を考えなければいけません。
今回の原因としては・・
・第三者に不正ログインされた or バグがありそこを突かれた
・サーバーアカウントに関する情報が流出した
のいずれかとされていますが、不審なFTPアクセスはないことから前者なんだろう・・と。
そして割と不正ログインじゃないのかな?・・と思ってます。
パスワード総当り(ブルートフォースアタック)による攻撃だと簡単にいけそうなレベルだったという自覚がありますから。
というわけで、前者が原因と仮定して、修正により復旧することとしました。
まずはXサーバーのファイルマネージャーに接続。
そしてPublic以下にある・・
7gs4ti7
TAhXMP
abcd-objectives
n6p3t59l
o2pybs
prayer-to
rmup5h2
rubV
rvvzo4
wNWpqz
wp-content/themes/bripfwuash/style.php
x65ce1yoaf8w
index.php
これらの不正プログラムと思われるものを削除します。
わたし、他にもサイトがあるので、それらと比べるとindex.php以外は入れられた物であるということがわかるわけで。
index.phpは改竄されている可能性があるっぽく対象となっています。
これらをまずは削除するんですが、パーミッションが000に変更されているので、そのままでは削除もできません。
なので、それらを変更してから削除することとなります。
で、順番にパーミッションを「705」等にして削除してくわけです。
index.phpは削除後にワードプレスのオリジナルのものを元々あった場所にアップロードしてやる必要があります。
これがないと動きませんからね。
これはワードプレスを新たにダウンロードして、その中のindex.phpを使うというのが一般的ですが、
ディレクトリを変更しているのであれば、それを事前に変更しておくことは言うまでもありません。
で、動作確認するわけで。
動作に問題ないのであれば、「ワードプレス」の管理パスワードを変更しておきます。
ざっくり書くとこれで復旧完了です。
その後、さらにセキュリティの設定を確認したりする必要はありますが、それは追々やるとして、
ざくっと2時間くらいで復旧完了しました。
そして思うんです。
この対策ってほんとアナログよなぁ・・と。
逆にこれらを突いてくるのもアナログよなぁ・・とか思ったり。
そんなわけで、こういうのに遭遇した場合、まずはどうするか?・・となると思いますが、
「まずは落ち着く」ということが大事なんじゃないでしょーか?
しっかしこれ、知見のない人からするとハードルが意外と高いんでしょうね。
本日はここまで。
