忘れもしないドイツ・ゴットタレントDas Supertalentのセミファイナル本番の前日の11月26日のことです。
ブログを共同で運営している方から
「ログインできなくなりました」
という報告を受けます。
特にログインの制限を設定したわけでもないのですが
「どうしのかな~」
くらいの気持ちで自分もログインを試みますがログインができません。
「なんだこれ?」
からかなり大きな問題へと発展します。
覚えのないファイルが無数に
ブログのログインはできなかったので、サーバー(ブログが設置されている大本)にログインしてみます。
するとどうでしょう。今まで作った覚えもなければ、設置した覚えもないファイルが無数にあります。
「なんじゃこりゃ」
と思い、ひとつづつ削除していきます。その数250以上。
もうかなりひどい状態であることが分かります。
一応怪しいファイルはすべて削除したので、これで一件落着と思ったら、大間違い。
ログインする度に不思議なファイルが増殖しています。
再び
「なんじゃこりゃ」
です。
本来ならばとことん問題解決に集中したいのですが、明日はセミファイナルの本番。
怪しいドイツ語も復習しなければなりません、というわけでファイルを削除したところで作業を中断しておきます。
お探しのページは見つかりませんでした
この間ブログはトップページは表示されるものの、次のページに進もうとするとすべて
「404エラー、お探しのページは見つかりません」
が表示される状態となり
同時にサーバー契約している会社からも以下のようなメッセージが届いていました。
このたび、Movable Type 4.0 以上(Advanced、Premium も含む)で第三者によって、任意のOSコマンドが実行できる可能性がある脆弱性が報告されました。
Movable Typeの開発元となるシックス・アパート株式会社から、この脆弱性を修正したバージョンが公開されています。
簡単に言うと、
「Movable Type 4以上を使っている人は、全然知らない人からもアクセスできることが分かりました」
つまりは全く関係のない人がサイトを操作できるということです。
しかし、自分のサイトが金融関係や仮想通貨のサイトならともかく、一個人の日記です。操作しても何のメリットもありません。すっかり気を抜いていたのですが、どうにも操作されてサイトがおかしくなったということです。
長引く問題
セミファイナルが終了したら全力で修正に向かう予定でしたが、全く予想せずにセミファイナルを通過してしまい、またすぐファイナル戦が行われることになり、このブログ問題になかなか集中して取り組めませんでした。
セミファイナル通過のエピソードに関してはリンク先の日記に書いています。
→ドイツのゴットタレントDas Supertalentのセミファイナル
空き時間を見ては怪しいファイルや、不明なファイルを削除するのですがいつのまにかその怪しいファイルが再生しています、消しても再生、しかも増殖。
つまりはコントロールされている元のファイルを探さねばなりません。増殖を生み出す根本のファイルを発見するしか方法がありません。
しかしファイル数はサイトごとに1000以上の正常ファイル、怪しいファイルがどこに潜んでいるのかもわかりません。
しばらくの間は、ファイル削除→ファイルが自動に生成を無駄にリピートします。
最終手段
ファイルを消しても、消しても現れる、結局は大本を断たねばならないのですが、その大本が見つからない。
一度セキュリティソフトでサイト内に「バックドア」と呼ばれる、裏口が見つかったのですが、これを削除してもまだファイルの増殖がとまりません。
ウィルスソフトを使ってもその大本のファイルが見つかりません、というわけで最終手段、サーバー内のファイルをすべて削除です。
バックアップをある程度とり、ワードプレスサイトをすべて新しくします。このバックアップファイルにウィルスの大本が含まれていると元も子もありませんが、とりあえずこの方法を試してみます。
バックアップファイルを戻しても何度か同じ現象がつづきましたが、バックアップのファイルを最小限にして、残りは手動でコピー&ペーストをした結果、ファイルの増殖がピタリと止まりました。
これにて一件落着です。
今回のこれに懲りてバックアップはマメに、それからセキュリティのソフトを導入した次第です。
というわけで今回はサイトの改ざん、ハッキング騒動でした。
以上です。
<関連リンク>
続・怪しいメール
ドイツのゴットタレントDas Supertalentのセミファイナル
ツイッターで更新、最新情報をつぶやいています。
@bikeandmagicさんをフォロー