無趣味の戯言

📄️

フィッシングサイトの踏み台にされた

公開
タグ

こんにちは、だいちゃんです。

先週あたりから、フィッシングサイトの踏み台にさせられてしまっていて、先の週末の間は、このブログを含め、サーバーが凍結されていました。

経緯を振り返りつつ、今後の対策についても考えてみようと思います。

フィッシングサイトの踏み台に

タイトルの通りです。

最終的には、サーバーの管理会社にサーバーアカウントを凍結させられてしまい、僕のサーバーにあるサイトやメールなどが全て止まってしまう事態になってしまいました。

はっきりとした原因は分かりませんが、恐らく未メンテナンス状態で放置されていたWordpressの脆弱性を突かれたのではないかと思っています。

メールが止まるのは結構大ダメージだったので、今後のためにも記録として残しておきます。

結論としては、「Wordpressのメンテはしっかりする」「Wordpressのログイン画面のURLは変更しておく」「Search Console繋げておく」辺りを徹底することが大事だと感じています...

経緯

5/11

Google Search Consoleから、 ポートフォリオサイト 悪意あるコンテンツが検出されたというアラートメールが届きました。Search Consoleの管理画面には、どのURLが怪しいかが表示されていたので、該当のファイルを削除して、審査を依頼しました。

ちなみに、アラートメールが飛んできたタイミングでポートフォリオサイトを確認しに行くとブラウザセキュリティによって画面が真っ赤になっていました...

審査は数時間で終わったようで、その日のうちに審査完了した旨メールが届いて、サイトを確認すると通常通り見れるようになっていました。

5/14

再びSearch Consoleからアラートメールが届きました。

同じくポートフォリオサイトで怪しいファイルが見つかったとの報告でしたが、11日の件とはディレクトリで発生していました。今回も当該ファイルの削除をし、審査を依頼しました。

ただ、さすがに不味いと悟り、Search Consoleを入れていない他のドメインにつなげているディレクトリも確認してみたところ、身に覚えのないファイルが複数見つかったので手当り次第に削除しました。

5/17

今度は、サーバー管理会社から「サーバー内で規約違反があったのでサーバーアカウントを凍結しました」という旨のメールが届きました。

この時既に、サーバー内にある全サイト・メールが凍結されており、FTPからファイルの出し入れくらいしか権限がない状態になっていました。

サーバー管理会社からのメールによると、同じサーバーにある、友人に貸していた別ドメインのWordpressサイト内からスパムメールが大量に送信されているとのことでした。Adobe CCのログイン画面を装うフィッシングサイトも見つかりました。

その後

サーバー管理会社の指示に従い、まず念の為サーバー内のデータを全てローカルに退避させ、Wordpress用のデータベースもバックアップをローカルに落とし、サーバーからはデータを全消去しました。

同時にFTPパスワードも再発行しました。

その上で、Gitで管理している、改ざんの恐れのないファイルを順次サーバーに戻していきました。バックアップしたファイルをサーバーに戻しても意味がないですからね。Wordpressに関しては作り直しが妥当な気がしています。改ざんされたかどうか判別難しいですからね。

ファイルを戻せるだけ戻したら、一旦サーバー管理会社へ対処したことを報告しました。報告した日のうちには凍結解除してもらえていました。

考察

僕の借りてるレンサバ上には、友人に貸しているものも含めて10個近いWordpressサイトが入っていたのですが、過去に使っていたものがそのまま放置されているなど、半数以上が非アクティブ状態でした。それに加えて、ログインページもデフォルトの /wp-admin/ のまま変更されていませんでした。

そういったセキュリティの甘い部分を突かれてしまったのではないかと考えています。

また、サーバー内には XxX.php という名前の、ディレクトリ一覧やファイルのアップロードを行うphpファイルが複数箇所に入っていたので、何らかの方法(Wordpressのアップロード機能など)を使ってこのphpファイルを仕込み、それを使ってWordpressを入れていない他のディレクトリにも影響を及ぼした可能性が高そうです。

これを機に、いままで無頓着だったセキュリティ面も勉強し直す必要がありますね。とりあえずWordpressの運用に関しては、基本的なことだらけですが、下記を厳守していこうと思います。

  • ログイン画面はデフォルトのまま利用しない
  • プラグインも含め、バージョンアップを怠らない
  • 使わないサイトはクローズする

サーバーを契約してから3年ほど経ちますが、基礎的なことさえ出来ていなかったのにも関わらず、いままで何事もなく運用できていたのは奇跡ですね。

今後は基礎的なセキュリティにも目を向けつつ、このブログをはじめサーバー管理をしていきたいと思います。

Buy Me A Coffee

New

More New posts... ≫

Web

More Web... ≫