※当サイトはプロモーション広告を利用しています。
この記事はメールマガジンで配信したものを
転載しています。
こんにちは!くみんです。
メールを開いていただきありがとうございます☆彡
おひさしぶりです!
前回のメールが6月頭だったので
約1カ月半のご無沙汰でした。
本当は7月に入ったら配信再開!!
・・・の予定だったのですが
とんだハプニングで今日になってしまいました。
というのも
一番稼いでいたブログがマルウエアにやられてしまって
対応に追われておりました。
セキュリティを、とか
パスワードを、とか
これまでメールでお伝えしていましたが
私がサイトを乗っ取られる…
いえ乗っ取られかける状態になるとは…。
今回ばかりはいい勉強になりました。
最悪、一から出直す覚悟もしてはいたのですが、
お陰様で、できる限りクリーンな状態で
再出発することができました\(^o^)/
というわけで、あってはならない事ですが
何かあっても、すぐに対処できるよう
今日から数回に分けで
マルウエア被害にあった時の対応について
お伝えしていきたいと思います。
セキュリティが破られた時
どのような状況になるか
またどのように対応したらよいか
…こちらをお届けします。
ワードプレスを使っていたら
マルウエアの被害は誰にでも起こる可能性
あるんですよね…いやですけど。
まずサイトを乗っ取られかけた時、
どのような状態になるのか
ここからお話ししていきますね。
あくまでも私の場合ですが
ワードプレス(WP)のパスワードが破られたあと、
WPの管理画面は表示されるものの
ページを移動しようとすると
「403 Forbidden」エラーが表示されるようになりました。
早い段階、数時間後には気が付いたので
何か変更が行われていないか、すぐに調査開始!
確認したのはファイルなどの更新されている日時、
そしてパーミッションが「444」などに変更されているファイルです。
※パーミッション「444」は書き換えができない設定
サーバーではなく「ファイルマネージャー」から
更新されているファイルの日付と記述内容を見ていきました。
■■確認したファイル■■
----------
about.php
wp-info.php
----------
これらの見慣れないファイルを削除
これ、増殖するんです。
「index.html」
「.htaccess」
のパーミッションと記述を確認
.htaccessのパーミッションが444になっていて
いくら644に変更してもすぐに444に改変され、
変更できない状態になっていました。
わたしは.htaccessの記述など詳しいわけではないんですが
ネットで検索して、同じ状況の書き込みを探して
一つ一つ見ていきました。
indexファイルは、通常の記述内容の上部に
長々とヘンな暗号のような文字が書き加えられていたし、
.htaccessファイルも、上部に書き加えられた記述がありました。
状況を確認したのち、契約しているサーバー会社に連絡。
▼現在のサイトの詳しい状況
▼問題がない状態を最後に確認した日時
▼問題発生日時
▼対象となるURLやドメイン等の情報
これらの状況報告と、助けていただけませんか
という旨をメールしました。
使用しているエックスサーバーのサポートからは
すぐに連絡が入りましたよ!(以下メール文抜粋)
--------------------------------------------------
お問い合わせをいただきまして、ありがとうございます。
当サポートにてサーバー内に不正ファイルの設置や、
不正アクセスの形跡がないかどうかお調べする事が出来ます。
その際にはサーバー内に設置されている各種ファイルに対して
精査する必要がございますので、対応を行っても問題がないか
許可をくださいますようお願いします。
※なお該当があり緊急性を要する場合は【サーバーが凍結】されるなど
事前通知なく実施されるケースがございます。
その場合は、制限実施後にその旨のご案内をいたします。
----エックスサーバー返信メールの一部抜粋---
レスポンスは意外と早くて
とても誠実な印象を受けました。
サーバー会社に不正アクセス調査を行っていただき
設置されていた不正プログラムファイルを停止
指示されたファイルを一つ一つ削除していきました。
ココなんですけど、
不正プログラムを検出してはくれるんですが
ファイルの削除はこちらで対処しないといけないんですよね。
また不審なアクセスログの一部を開示してもらい
「WordPressへの不正ログインに起因する改ざん」
という調査結果をいただきました。
不正アクセスの根本原因の多くはパスワードの流出、
WordPressの脆弱性をついたものが多いようです。
今回のケースでは不審なFTPアクセスが見られない
ということで消去法的な対応となりました。
⇒不正なファイルを削除する形
それでも
----------
about.php
wp-info.php
----------
のファイルは削除しても削除しても自動生成され
エックスサーバーさんには丁寧に対応していただいたのですが
サイトの表示は復旧しないまま3日が過ぎてしまいます。
サーバー会社から提案があったわけでもないのですが
このままでは復旧は見込めないと考え
新たにサーバーをもう一つレンタルし
全てのサイトを引っ越すことにしました。
WPだけでも無駄に多くて10サイト以上、
他にもシリウスなどで作ったサイトもあり
まずは引っ越しの準備と手順を決めることからスタート。
WPの引っ越しには
色んなプラグインがあるのも知っていますが
管理画面が動かない状態では使えません。
いろいろ調べてわかったことは
3つの情報さえ携えていれば
簡単にWPサイトの再生はできるという事。
ホントにシンプルでした。
その3つの情報とは
=========
・mysql(データベース)
・uploadsフォルダ(WordPress/wp-content/uplodas)
・config.php
=========
「uploadsフォルダ」というのは画像が保存してあるフォルダで
WordPressのwp-contenの中にあります。
「config.php」はファイル内の情報のみを使用。
(configを見れば、どのmysqlと紐づけられているかが分かります)
※configはPHPファイルなので、内容を見る場合は
「Tera-pad(メモ帳)」を開いてドラッグすれば表示できます。
これにデータベースが加われば
保存された時点でのサイト復旧が可能です。
もう少し補足するとすれば
使用していた「テーマ」とワードプレスも必要。
でもそれさえあれば限りなくクリーンな状態で再出発できます。
ここで注意したいのが
いわゆる「バックアップデータ」を使わないところ。
プラグインは汚染されている可能性があるので
新しくインストールした方がいいです。
「uploadsフォルダ」「mysql」「config.php」
この3つのバックアップを持って
新しいワードプレスに移動すればいいだけ。
引っ越しの手順をここで覚える必要はないけれど
なんとなーく知っておいて
上記3つの情報さえあれば再生できる!
という事だけ分かっていれば大丈夫です。
◆引っ越しの手順◆
・新サーバーにドメインを移し、SSL化
↓
・データベースmysqlユーザーを追加
↓
・mysqlを追加
↓
・mysqlユーザーとmysqlを紐づけます
↓
・「phpmyadmin」でmysqlのバックアップをインストール
↓
・WPを手動でインストール
↓
・「uploads」をWordPress/wp-contenにアップロード
↓
・WP管理画面に入る時点でデータベース情報を入力
↓
-----------------
・データベース名
・MySQL データベースのユーザー名
・MySQL データベースのパスワード
・MySQL のホスト名
-----------------
・ログイン後、「テーマ」をインストール有効化
↓
・プラグインをインスト―ル有効化&設定
今回はワードプレスだけで10個ほどあったので
各サイト毎にフォルダを作って引っ越しの準備を行いました。
引っ越し後は「強いパスワード」を再設定
セキュリティプラグインをインストール
という感じです。
WPの引越しって、
何だかむつかしく書いているサイトも多くて
面倒だなぁと思っていたけれど
何を動かせば良いのかさえ分かっていたら
とても簡単なんだということが分かりました。
=========
・mysql(データベース)
・uploadsフォルダ(WordPress/wp-content/uplodas)
・config.php
=========
これに「テーマ」を加えれば
ワードプレスは再生できます。
流石に10個も引っ越したら
詳しくなりますよね!!
もしも何かあったら力になれるかも!
いつでも声をかけてくださいね!
というわけで次回は
さらにその後のセキュリティや
サイトの確認などについて、お話ししていきたいと思います。
もし宜しければ、
ブログから、【人気ブログランキング】の応援クリックお願いします。
みなさまのおかげで
上位をキープする事ができております!
いつもありがとうございます。