さくらサーバーからの警告メールで始まったWordPressが乗っ取られた話。


スパムの踏み台にされていて、さくらサーバーの管理者権限でサイトにアクセスできない状況にされてました。
個人的なサイトでは無かったので復旧する事が一番なのですが、そのまま公開してもスパムを送り続けるのは目に見えてます。
色々と対応する事が必要なのですが、WordPressを乗っ取られたのは初めての事だったので、どんな対応を取ればいいのか分かりませんでした。
とりあえず色々考えて1回目の対応を終わらせるのですが・・・。
シェル操作でパーミッションを変更
WordPressをインストールしていたフォルダのパーミッションが、755から0へ変更されていました。
FTPやファイルマネージャーからでは、権限の関係でフォルダ操作が何もできません。
フォルダの中を見ることも、パーミッションを変更することもできませんでした。
そこで、さくらサーバーの共有サーバーでは使った事がないシェルログインを利用して、パーミッションを変更しました。
パーミッションはFTP操作ができて、httpアクセスができなければOKな700に変更。
基本的なパーミッションの設定以外は、どのような動きになるのか分からないけど、僕はとりあえず700で作業しました。
不正プログラムを仕込まれたファイルの修正
さくらサーバーからの警告メールに、負荷が著しいファイルパスが記載されていたので、それぞれのファイルをチェック。
ファイルの先頭に怪しさ満点の、プログラムが仕込まれていました。
改行なしで先頭に大量のスペース。
FTPの簡易ビューアなら折り返し表示されるので気が付くのですが、ダウンロードして任意のテキストエディタだと、折り返しがされないので気が付きにくいです。
相当な個所に仕込まれていて修正するのに数時間かかりました。
これで大丈夫だと思い運用を開始するのですが・・・。
数時間後にまたスパム送信されていた
数時間後にメール送信数をチェックしてみると、スパムは止まっていませんでした。
再度ファイルをチェックしてみると、また同じようなプログラムが色んな箇所に仕込まれて時間をかけて修正。
さくらサーバーのコントロールパネルから、アクセスログを取るように設定して、怪しいアクセスを探ることに。
アクセスログをチェックしてみると、WordPressには存在しない怪しいファイルへのアクセスが!
チェックしてみると、これまた怪しいプログラムファイルでした。
ファイルを修正、削除しても改竄されるのは見つけるのが困難な、改竄用プログラムが仕込まれてると思いました。
面倒なのであまり行いたくはなかったのですが、WordPressのプログラムを削除して、新しいWordPressのプログラムと入れ替えました。
プラグインとコンテンツの画像はそのままです。
パスワードやディレクトリ名の変更
プログラムの改竄のみならず、ファイルの作成なども行われていたので、FTPのパスワード流出なども考えられます。
なので、サイトに関わるパスワードを全て変更しました。
コントロールパネル、FTP、データベースなどなど。
ファイルパスを変更する為に、WordPressのインストールフォルダ名も変更。
考えられるすべてのIDやパスワードを変更してWordPressを入れ替えると1ヶ月くらいは平穏が続いたのですが・・・。
スパム送信が再発!2回目の解決策は!?
一ヶ月くらい経つとまた大量のメールが送信されていました。
コントロールパネルやFTPのログイン履歴を見ても、怪しい履歴はなかったのですが、WordPressのユーザーに作成した覚えのない新しいユーザーが作られていました。
1回目の対応は、WordPressの入れ替えIDとパスワードの変更だけだったのですが、2回目となると意を決して作業するしかありません。
1回目の対応に加えてプラグインの入れ替えと、データベースの中身チェックまで行いました。
その後は再発する事も無く平穏です。