不正アクセスがありました

[leigh]

お世話になっております。

welcartを利用させていただいたECサイトが
不正アクセスを受けて、ファイルが改ざんされ
迷惑メールを大量発信したため
サーバ側にサイトを閉鎖されました。

原因がまだ分かっておりませんが
プラグインの脆弱性なども考えられるようです。
welcartで過去にこのようなトラブルの記録は
ありますでしょうか。

現在復旧の作業を行っていますが、
もしもどなたか情報をいただければ
作業の参考にさせていただきたいと存じます。

よろしくお願いいたします。

WordPress のバージョン：最新
Welcart のバージョン：2016年11月時点のバージョン
ご利用のテーマ：blanc
症状を確認したブラウザ：すべて
サーバー（会社名、サービス名）：さくら
SSLの利用：　利用あり
WordPress のパーマリンク設定：

[fnetmasa]

プラグイン無しのワードプレスだけで、簡単に乗っ取られることがあります。

幾つか見てきました。

ですので、WP自体に脆弱性がある、という前提で対策する必要があります。

ご存知の情報かも知れませんが、ご参考までに書かせていただきます。

わたしは、WPプラグインの「All In One WP Security」の機能である「scanner」を使って、ファイル改ざん時にメールで警告が来るように設定しています。
正確には改ざんというよりも、相手は乗っ取りにつかうディレクトリとファイル一式を追加してきます。しかし、このscannerで不正侵入を検知できます。

また、ほとんどが海外からのアタックですので、下記の対策を行っています。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
　
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

参考サイト
http://zuntan02.hateblo.jp/entry/20140523/1400837726
https://www.tank-sakurai.com/wpsecurity/

[leigh]

ありがとうございます。

WordPressの脆弱性とプラグインの脆弱性と関連があるようにも
聞いています。

改ざん時に通知が来ると、改ざんされる前に阻止できるのでしょうか。
回復したらやってみます。

htacessでロシアのアクセスを拒否しましたが、だいぶ減りましたが
ゼロにはなりませんでした。日本からだけ受け付ける方法は
知りませんでした。

特定の国を拒否して、googleの検索エンジンには検索結果として
表示させても、その特定の国の端末からは開けないということでしょうか。

[fnetmasa]

こんにちは

WordPressの脆弱性とプラグインの脆弱性と関連があるようにも
聞いています。

はい。そのような事例もあると思います。サーバーそのものの脆弱性もつかれます。

改ざん時に通知が来ると、改ざんされる前に阻止できるのでしょうか。
回復したらやってみます。

いえ。もちろん後から分かります。

しかし、サーバー会社（さくら）から知らされて初めて知るということは阻止できます。
すぐに対処すればSPAMは停止できますので、サーバー会社も忍耐してくれると思います。

最近はロシア以外のヨーロッパ、特にイタリアからのアタックが激しいです。

特定の国を拒否して、googleの検索エンジンには検索結果として
表示させても、その特定の国の端末からは開けないということでしょうか。

はい。そのとおりです。日本語のGoogleサイトも、海外のサーバーを使っているようですので、海外からのアクセスを一律に遮断すると、Googleの順位も下がります。
そこで、主な検索ロボットには見せます。

しかし、海外の人たちの端末からは見えないサイトになります。

取り急ぎ補足でした。

[nsteps]

当方でも、今月1日ごろに不正アクセスを受けて、ファイルやフォルダが改ざんされ、大量メール送信の踏み台にされたため、サーバ側にサイトを閉鎖されました。

WordPress のバージョン：4.7.3
Welcart のバージョン：1.9.1
サーバー（会社名、サービス名）：シックスコア

乗っ取りにつかうディレクトリとファイル一式が追加され、phpファイル、.htaccssファイルなども改ざんされていました。当方も、まだ詳しい原因は分かっていないのですが、leighさまが被害にあった状況と似ていると思います。Wordpressやプラグインの問題なのか、サーバ上にあったその他のファイルの不備なのか、どこからどう切り分けるのかすら難しい状況になってしまいました。

何とか復旧できたのですが、サーバ上のファイルをすべて初期化し、また同じ攻撃に晒されないように考えつつ、元の環境に戻すことになり、かなりきつい作業となりました。

fnetmasaさんにご紹介いただいた対策を参考にしたいです。

ファイル改ざん時にメールで警告が来るように設定しています。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

[leigh]

fnetmasaさま

ご丁寧なお返事をいただきありがとうございます。

さくらから通知が来たのは3日でした。

サイトが閉鎖されたのは、2日か3日なのだと思うのですが
3日にイタリアからアクセスがありました。これが最後です。

日ごろAkismetやJetPackが、ダッシュボードに不正アクセスの
件数など表示してくれているのですが、これではブロックできなかった
のですね。

すぐに対処すればSPAMは停止できます

すみません、この対処方法が分からないのですが、教えて
いただけますでしょうか。検索のキーワードなど
ヒントをいただければうれしいです。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

こちらについても何かヒントをいただけますでしょうか。
プログラムのことが分からないです。

どうぞよろしくお願いいたします。
申し訳ありません。

nstepsさま

確かに同じケースに思えます。

私の場合、まず自分のパスワードを変更しなければと
phpMyAdminからuserを見たところ、見たことのない
userが勝手に作られていましたので、パスワードが
取られたのかとは思っています。

教えていただいたところによると、マルウェアの仕業で
このようなことが他にもたくさん起きていることが
分かりました。みんな同じユーザー名なのです。

サーバ会社からはパーミッションを000にしたという
通知が来ただけで、原因や対処法に関して質問を
しても回答がなく、原因が分からず先に進むのを
躊躇しています。

元のファイルがxamppに残っていたことを
思い出しましたのでこれを元にして回復していこうかと
思います。

また同じ攻撃に晒されないように考えつつ、元の環境に戻すことになり、
かなりきつい作業となりました。

とのこと、大変な作業であったと想像します。

私のサイトは規模も小さく、uploadとデータベースは
なんとかバックアップが取れたのでなんとかとは思います。

一番大事なのは、また同じ攻撃にさらされないようにすることですが、
自分としては、プラグインのアップデート、
WPのアップデート、fnetmasaさまに教えていただいた
「All In One WP Security」の機能である「scanner」を
やってみるしかないかと思います。

心配なのは、大量のSPAMが送信されたことによって
ドメインがブラックリストに載ってしまったら
ドメインを変えることもしなければいけないのかと。

それから、不正アクセスを受けたサーバは再度
許しやすいということもあるそうで、サーバの問題も
あるのかと。

他にもサイトを運営しているのですが、やはりECサイトということで
狙われたのでしょうか。

[uishi]

多分3月31日に改ざんが始まってそうです。
メールの踏み台より、偽のファイルをgoogleに登録させようとするものじゃないでしょうか。

一つ緊急な質問を　usces_cacheとか言うフォルダが必要でしょうか。
パーミッションは000にしました。

[leigh]

さくらの回答によりますと

弊社では3月31日から4月1日にかけて改ざんが行われている状況を
確認いたしましたが、お客様個々の状況についてはわかりかねます。

だそうです。

uishiさまも被害に会われたのでしょうか？

一つ緊急な質問を　usces_cacheとか言うフォルダが必要でしょうか。
パーミッションは000にしました。

これは私に対するご質問でしょうか？
どなたか、詳しい方お返事お願いできますか。

自分のFTPでプラグイン内を見ましたが、welcart関連は
usc-e-shopフォルダしかありません。

どちらにしても気味が悪いので削除するつもりです。

さくらで複数のサイトを運営しているのですが、
当該のECサイトの他に、閉鎖されていないサイトも
全て削除すべきか判断に迷っています。

All in One Securityは他のサイトには入れていました。
機能をよく見ると、ログイン通知、ログイン画面URL変更、
マルウェア監視やファイル変更履歴などたくさんありました。

基本的なマナーと一緒にこのプラグインをしっかり
使っていこうと思います。

[fnetmasa]

こんにちは

すぐに対処すればSPAMは停止できます

すみません、この対処方法が分からないのですが、教えて
いただけますでしょうか。検索のキーワードなど
ヒントをいただければうれしいです。

１時間置きにscannerを設定しておくと、改変ファイル、追加ファイルのがあった場合、メールを送ってきてくれます。
取り急ぎの対策としては、追加されたディレクトリを削除すれば、SPAM送信ができなくなります。
ただ、そのまま放置すれば、また再び改変にやってくると思います。

・日本国内向けのWPサイトでは、日本からのみアクセス許可
　（ただしGoogle等検索エンジンには見せる）
・海外にも見せるサイトは下記３ファイルを海外からは遮断
　　wp-cron.php
　　xmlrpc.php
　　wp-login.php

こちらについても何かヒントをいただけますでしょうか。
プログラムのことが分からないです。

こちらについて参考サイトをURLで書いたものの、この掲示板ではURLを自動削除されてしまいました。

さくらでは「国外IPアドレスフィルタ」という機能があります。
「さくら　国外IPアドレスフィルタ」でググるとでてきます。

また、重要３ファイルのアクセス制限については

「海外からWordPressにイタズラされるので、不正アクセス対策をしました。」

というあるブログ記事を参考にしました。上記タイトルで検索するとでてきます。

ご参考まで

[leigh]

fnetmasaさま

ご教示ありがとうございます。

scannerは1dayにしましたが、1hourにします。

昨日から他のサイトに設定したのですが、夜（日本時間？）に
htacesseが変更されていました。
人為的なものか、システムなのか分かりませんが、
こちらのサイトは全く脅威はないので
いいのかと・・htacesseの機能を調べてみようと思います。

これも別の話ですが、さくらコントロールパネルでログイン履歴を
見たのですが、自分の履歴しか残っていませんでした。

悪意で作られた（DBで見つけたuserはログイン履歴に
記録されずにログインするのですね。

メール送信履歴は３月３１日から４月３日にかけて
ものすごい件数になっていました。

「さくら　国外IPアドレスフィルタ」と
「海外からWordPressにイタズラされるので、不正アクセス対策をしました。」
早速調べてみます。

たくさん教えていただいてありがとうございます。

[fnetmasa]

おはようございます。

４日間踏み台にされていたのですね。ほんとうにお疲れ様です。

htacesseは、アドインの設定によって書き換えられることがあります。
PHPのファイル追加改変がなければ、まだ踏み台にはなっていないです。

侵入者は自分のログを綺麗に削除してからでていかれますので、ログだけでは発見困難な場合が多いようです。

[leigh]

ftmasaさま

ありがとうございます。
4日も気が付かないなんて、怠慢をとっても反省しています。

htacesseのこと教えてくださりありがとうございます。
安心しました。
htacesseの内容も読めるようにならないとと思います。

ログを消していくのですか。高度な技術を持っているのですね。

ところで、このテーマを読んでいらっしゃる方がいたら
参考までに。

さくらのレンタルサーバはWAFがデフォルトで無効に
なっています。

以前ロリポップだったのですが、デフォルト有効だったので
必要な時に無効にすればよかったのですが油断していました。

自分で有効にする必要があったのです。基本ですね。

ご報告まで申し上げます。

ありがとうございます。

[uishi]

WAFが推奨されてるが、過去に動かないときにWAFを切るようなポストがあったんですが、もうなおったんですかね。

[leigh]

お世話になっております。

サイト復旧にあたり、これまで皆様からアドバイスをいただいたり
自分で調べたりして反省点や今後の対策をまとめました。

事前の対策：
・パスワード管理はもちろん、「All In One WP Security」などのプラグインで最大限の防御をする。
・Scannerで不審なファイルが投入された通知が来た時点で、ディレクトリを削除する。（これだけではいたちごっこですが）
・サーバ会社のWAFをオンにしておく（サーバ会社によってデフォルトで有効になっている場合があるので要注意。WAFをオンにするとCMSに不具合が起きることもありますが。
・サイトを海外からアクセス不可能にする。
・サイトにアクセスするときは、SNSなどは閉じておく。
・複数のPCでログインしない。Wifiを使うときはアクセス権やマックアドレスの設定など最大限のことをする。
・テーマ、プラグイン、WPのバージョンは常に更新状態にする。

事後にしたこと：
・MySqlから、ありえないユーザーを削除
・MySQLから、WPのパスワードを変更
・複数のサイトを一つのサーバで運用していたが、あきらめてサーバのファイルを全部削除して、ドメイン直下のファイルを初期化。

復旧：
サイトを作成したxamppにアップロード前のファイルが残っていたので、これを再度アップロードしました。

・サーバ会社に聞いて、MySQL内のデータベースは大丈夫だろうと言われたので、サーバのファイルを削除する前に、データベースとUploadだけはバックアップを取りました。中身を全部見て、画像ファイル以外は全部削除する。バックドアがしかけられている可能性があるので、PHPやCGIなど全部。

・config.phpもバックアップ取りましたが、これは使わず接頭辞、サーバ情報、パスワードなどの部分だけ手動でxamppのファイルを戻した時にコピペしました。

その他：
・ECサイトなので、お客様のクレジットカード情報の漏洩が心配でしたが、カード情報を外部（決済会社）サイトで入力する方法を選んでいたのでよかったです。

・大量迷惑メールでドメインがブラックになっていないかを確認しましたが、幸いリストにのっていませんでした。乗っていたら解除依頼を出さなければならないので。

もっとたくさん考えること、するべきことあると思いますが、
現時点で自分なりに、まとめてみました。

ECサイトを運営する限り、まずはお客様の個人情報を守ること、共有サーバ
を利用している方々に被害を及ぼさないことなど、個人であろうと
サイト運営者の最大の義務だと思い、とても大きな勉強をしました。

みなさま、ありがとうございました。

[投稿者]

投稿