簡単な経緯
①お客様のWPサイトが改ざんされ、「2020年間ビジターアンケート ブラウザー意見アンケート」リダイレクトされ、リスティング広告が停止
2020年間ビジターアンケート ブラウザー意見アンケート←症状
②改ざんの原因を調べ、更新していない古いプラグインからの侵入経路の可能性が高いと判断
③エックスサーバー内のデータをすべて削除後、新しくWPを構築。
④マルウェア対策をし、復旧。
中々の大掛かりな作業
データベースはやられていませんので何とか復旧できましたが、FTPサーバー内は「img」ファイルまで細かく感染されており、バックアップも取れない状況でした。
考えられる原因
CMSやプラグインのバージョンなどが古い状態でマルウェア感染
解決方法
すべてのサイトをマルウェア感染チェック → 除去した状態でバックアップをとり、
サーバー内(他ドメイン含)を初期化して、バックアップを上げる感じです。
これは、サーバー会社に問い合わせをして同じ答えが返ってきた事から確実な対応策になると考えております。
ただ、地道で時間の取れる作業&ある程度サーバー知識がないと行えないと思います。有識者に依頼する事をお勧めします。
エックスサーバーの返答
〇〇〇 様
平素は当サービスをご利用いただき誠にありがとうございます。
エックスサーバー カスタマーサポートでございます。
XserverアカウントID:〇〇〇〇〇〇
サーバーID :〇〇〇〇〇
お問合せ番号:〇〇〇〇〇
お客様より調査のご依頼を受け、当サポートにてセキュリティ調査を行いましたとこ
ろ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。
▼サポートにて実施した制限内容
——————————————————-
・当該サーバーアカウントに対する緊急的なWebアクセス制限を実施
※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-
スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。
不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。
■目次■
————————————————————-
【1】サポートにて実施したセキュリティ調査について
【2】Webアクセス制限の解除方法について
【3】お客様に行っていただきたい対応内容について
【4】推奨される設定について
————————————————————-
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様の上記サーバーアカウントにおいて
以下の不正なファイル(ウイルス、マルウェアなど)が検出されるとともに、
日本国外からの不審なアクセスを確認いたしました。
/〇〇〇/〇〇〇/〇〇〇/public_html/0md6mie1.php
————————————————————
[不審なアクセスログの一部] ————————————————————.jp」
178.62.226.96 – – [16/Sep/2020:14:15:30 +0900] “POST /?aklp=xopgx HTTP/1.1”
301 49 “http://〇〇〇〇jp/?aklp=xopgx” “Mozilla/5.0 (Windows NT 10.0; Win64;
x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.79
Safari/537.36 Edge/14.14393”
178.79.183.91 – – [16/Sep/2020:14:15:32 +0900] “POST /?usted=zynt HTTP/1.1”
200 36 “http://〇〇〇〇.jp/?usted=zynt” “Mozilla/5.0 (iPad; CPU OS 10_3_2 like Mac OS X) AppleWebKit/603.2.4 (KHTML, like Gecko) Version/10.0 Mobile/14F89 Safari/602.1”
————————————————————
検出された不正なファイルやアクセス先のファイルは
不正に設置または改ざんされている可能性が高くございます。
なお、不正アクセスの根本原因は下記パターンに大別されます。
▼不正アクセスの根本原因
————————————————————
(1)お客様が運用中のプログラム(WordPress等)において
[1]プログラム(WordPress等)の管理パスワードが流出し、第三者に不正ログインさ
れた。
[2]セキュリティ上問題のある致命的なバグ(脆弱性)が存在し、第三者に脆弱性
を利用された。
不正ログインされる、もしくは脆弱性が存在する場合、WordPressに限らず
下記のような操作をプログラム経由で実施されてしまう可能性がございます。
(一例)
・WordPressやFTP、メール等のアカウントのID、パスワードの奪取
・不正なアカウント、不正なファイルの設置
・既存ファイルの改ざん
・他者への攻撃の実行
・不正なコンテンツ、フィッシングサイトの公開・開設
(2)お客様のサーバーアカウントに関するFTP情報が流出し、
第三者に不正にFTP接続をされた。
→FTP操作自体によるファイル改ざんはもとより、
任意のプログラムを設置することでどんな操作でも実行できてしまいます。
————————————————————
お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、
プログラム(WordPress等)の管理パスワードが流出しプログラムを悪用されたか
お客様が運用中のプログラムの脆弱性を悪用されてしまった可能性が高いものと思わ
れます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
次項【3】の [2] に記載しております「サーバーアカウント上に設置された
ファイルの削除」を行っていただき、サポートまでお知らせください。
************************************************************
この度のような不正アクセスの被害に遭われた場合、
検出された不正なファイル以外にも、他の不正なファイルや
バックドア(不正アクセスを容易とする仕組み)などが
設置されている可能性が考えられます。
また、プログラムはその仕組み上、上位フォルダに対する
ファイル操作(ファイルの設置や編集)も行えてしまいます。
そのため、凍結の解除にあたっては、検出された不正なファイルだけではなく、
サーバーアカウント全体のすべてのファイルを削除していただくよう
お願いしております。
************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】お客様に行っていただきたい対応内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のPCや運用中のサイトのセキュリティ対策は
お客様ご自身にて管理を行っていただく責任がございます。
この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや
改ざんされたファイルをサーバーアカウント上から完全に駆逐するため、
大変お手数ですが、下記作業をなさいますようお願いいたします。
───────────────────────────────────
[1] ご利用のPCにてセキュリティチェックを行ってください。
———————————————————————-
お客様のご利用PC端末にてセキュリティソフトを最新版に更新していただき、
ウイルスチェックと駆除をおこなってください。
また、Windows UpdateやAdobe Reader、Flash Playerなどの
ご利用PC端末にインストールされているソフトウェアにつきましても、
最新版へ更新してください。
※本件はプログラムの脆弱性に起因する不正アクセスの可能性が高い状況では
ございますが、念のため上記ご確認をお願いいたします。
───────────────────────────────────
[2] サーバーアカウント上に設置されたファイルを全て削除してください。
———————————————————————-
お手数ですが、下記の手順にて「独自ドメイン」「初期ドメイン」、および
「その他のフォルダ」に設置されたファイルの削除をお願いいたします。
※この作業による、データベースの初期化・削除はございません。
【!】ご注意ください
下記の作業により、お客様のサーバーアカウント上に設置されている
ホームページデータやメールデータおよび各種設定がすべて削除されます。
画像、プログラム、設定ファイルやメールデータ、メールアドレス一覧などの
必要なデータは事前にバックアップを取った上でご対応ください。
————————————————————
◆「独自ドメイン」のデータ削除について
「サーバーパネル」→「ドメイン設定」より、設定中のドメイン名を
すべて削除してください。
※オプション独自SSL証明書が設定されているドメインに関しては
「ドメイン設定」より対象ドメインの「初期化」より
「ウェブ領域・設定の初期化」をご利用ください。
◆「初期ドメイン」のデータ削除について
「サーバーパネル」→「ドメイン設定」へアクセスしていただき、
削除が不可能な初期ドメイン名を「初期化」してください。
※「ウェブ領域・設定の初期化」をご利用ください。
◆「その他のフォルダ」のデータ削除について
FTPソフトや「ファイルマネージャ」でサーバーアカウントを参照し、
アクセスした際に表示されるフォルダが以下のみになることを
ご確認ください。
・「初期ドメイン名」のフォルダ
・(オプション独自SSLを利用している)「ドメイン名」のフォルダ
・「ssl」フォルダ
上記以外のフォルダやファイルが存在する場合、
FTPソフトやファイルマネージャーにて個別に削除してください。
————————————————————
───────────────────────────────────
[3] [2]をご対応いただきましたら、サポートまでお知らせください。
———————————————————————-
ファイルがすべて削除されていることをサポートにて確認できましたら、
Webアクセス制限解除のお手続きをいたします。
制限解除お手続きは、[2]完了のご連絡をサポートが確認しましてから
早ければ当日中、お時間がかかる場合にも翌日中には完了いたします。
なお、お客様からサポートへご連絡いただく際は、外部フリーメールや
プロバイダーのメールなど受信可能なメールアドレスをご利用ください。
【!】サーバー内にデータが残っていないかご確認ください
当サポートへご連絡いただいた際に、サーバー内にデータが残ったままで
あるため、再度、お客様へデータ削除をお願いする事例が多くございます。
データが残っておりますと、制限を解除することはできません。
サポートにお知らせいただく事前に、前項[2]の作業が
すべて完了していることをご確認ください。
───────────────────────────────────
[4] FTPソフトによるデータアップロードなど、
ホームページ再開のための作業を行ってください。
———————————————————————-
サーバーパネルの「ドメイン設定」より独自ドメインの運用設定を
改めて追加していただき、FTPソフトによるファイルのアップロードや
メールアドレスの設定など、ホームページ再開のための作業を行ってください。
凍結時点のデータは不正に改ざんされているデータを含む可能性や
セキュリティ上問題がある可能性がございます。
再発防止のため、セキュリティ上問題のない、改ざんされていないクリーンな
データをアップロードなさいますようお願いいたいます。
※CGIプログラムをご利用の場合はパーミッションの変更にご注意ください。
───────────────────────────────────
[5] 該当ドメインにて設置されていたプログラムにおいて、
脆弱性の調査を必ず行ってください。
———————————————————————-
不正アクセスの原因を明確にした上で、
ホームページの運用を再開なさいますようお願いいたします。
※不正アクセスの原因を特定しないままホームページを再開した場合、
再度同様の被害に遭う可能性が非常に高くなってしまいます。
◆「WordPress」や「Joomla!」などのCMSツールをご利用の場合、
脆弱性が発表されていない最新バージョンを必ずご利用ください。
旧バージョンのCMSツールには、脆弱性が報告されているケースが
非常に多くございます。
また、プラグインやテーマファイルにつきましても、
最新のものを新規にインストールしていただくことを推奨いたします。
───────────────────────────────────
[6] 設置されているWordPress等の設置プログラムについて管理パスワード変更して
ください。
———————————————————————-
WordPress等の設置プログラムにて、管理画面より管理パスワードの変更をお願い
いたします。
既に【パスワードが攻撃者によって特定】されており
悪用されている可能性が非常に高い状況です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【重要】管理パスワードの変更をお願いいたします
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワード総当り(ブルートフォースアタック)による攻撃や、
お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用され、不正にアクセスの被害にあわれた可能性が高いものと思わ
れます。
※これまでと同じパスワードは絶対に設定しないでください。
また、アルファベット・数字を絡めた、第三者に推測されづらい
パスワードをご設定ください。
※念のため、今回不正アクセスが発生しておりましたドメイン以外の
WordPress・その他設置プログラムでも、同様に管理パスワードの変更をご検討
お願いいたします。
───────────────────────────────────
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【4】推奨される設定について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のウェブサイトにてPHPプログラムをご利用の場合、
サーバーパネルの「php.ini設定」にて
「allow_url_fopen」および「allow_url_include」をいずれも
「無効(Off)」にすることを強くお勧めいたします。
◇マニュアル:php.ini設定
https://www.xserver.ne.jp/man_server_phpini_edit.php
※上記設定項目は「外部ファイルを読み込む/実行する」操作に対する可否設定で
す。
ご利用のプログラムにより、上記それぞれの設定を「On」にする
必要がある場合もございますが、外部からのデータ読み込み等が必要ない場合、
これら設定は無効にしたうえでプログラムをご運用ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
なお、今後、同様の状況が再度確認された場合、
さらなる制限を実施する可能性がございます。
不正アクセスによる被害の発生・再発を防ぐための措置でございます。
何卒ご理解くださいますようお願いいたします。
以上、何卒よろしくお願い申し上げます。
ご不明な点などございましたら、お気軽にお問い合わせください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
要約→マルウェア感染ファイルすべて消し、サーバー内を初期化して、新しくWPインストールしてね
具体的な方法
①「マルウェアスキャン」のプラグインを導入
ワードプレスドクタープラグイン導入
このプラグインでスキャン後、感染ファイルor記述コードを駆除。
②バックアップ後、サーバーすべてを初期化し、WPインストールし直し
・感染したファイルをあげてはいけません。
・バックアップしたファイルをデスクトップ上でさらにウィルスチェックする
・ウィルスチェッククリアしたものをアップロード
③WPログイン画面の ID PASSを強化
・今までのWPログイン画面 ID PASSを複雑のものに
・プラグインで、画像認証でのログイン方式に
④すべてのプラグインに「自動更新有効化」を設定
・プラグイン自動更新有効化による、手動でのうっかり忘れを防止。
・常に最新状態に保つため、プラグイン脆弱性をカバー。
⑤「SiteGuard WP Plugin」というセキュリティプラグインを導入
「SiteGuard WP Plugin」というプラグインをすべてのサイトに導入。
※このプラグインを入れたドメインだけ感染がなかったため。
以上の方法で解決に至りました。
直したサイトを定期的に確認していますが今も特に問題ない状態です。
詳しくはお問い合わせください。
何処のサーバーと契約しどのくらいのドメインが関係しているか下調べしないと、具体的な解決方法は提示できないので、もし緊急性が高いようでしたらお電話頂けると文字よりも簡単に説明ができますので、ご依頼を検討くださいませ。
同じ症状で困っている方がいましたらすぐお問い合わせください。これまで同じ症状を3回程、相談を受けすべて解決まで導いています。
広告出稿出されているのであれば早急な解決が必要です。
依頼費用目安 2万円~5万円前後
2020/11/29追記 質問アンサー
お問い合わせanswerを載せます。
「このリダイレクトはページ全てに、そして毎回起こるわけではないのでしょうか?」
このリダイレクトは、一定時間を設けランダムなURLからリダイレクトされる性質を持っております。
同じサーバー内で違うドメインがあったとして、他のドメインも対象になる可能性が高いです。