サイトがこわれてました
なんか、不正侵入されてPHPを改ざんされたようです。
エックスサーバーからこんなメールが届いていました。
お客様にて管理されている「cool-crazy-affiliate.info」において、
不正なファイルの設置、およびファイルの改ざんが行なわれておることを確認いたしました。
これらについてお客様の身に覚えのない場合、下記の理由によりお客様のサーバーアカウントに
不正にアクセスされ、ファイルが改ざんされた可能性がございます。
※該当ドメイン下のWordpressインストールフォルダ内、
【index.php】等をはじめ、複数のPHPファイルが改ざんされておるようでございます。
—————————————————————–
(1)お客様のPCがウィルスに感染した事によりFTPパスワードが流出した可能性
お客様がお使いのPCソフト(インターネットエクスプローラやAdobe Reader、
Adobe Flash Player)にて旧バージョンをお使いの場合に、
プログラムの脆弱性を突かれてウィルスに感染する事がございます。
ご参考:
http://www.xserver.ne.jp/news_detail.php?view_id=599
(2)お客様がサーバー上にアップロードしたプログラムの脆弱性を突かれた
事により不正なファイルをアップロードされた可能性
※xoops等のような有名プログラムにて、脆弱性が残ったままの
古いバージョンのプログラムを使用し続けると、即時不正アクセスの
対象となってしまいます。
ご利用のプログラムは必ず最新のものへと更新頂く必要がございます。
自作のスクリプトをご利用されている場合は、セキュリティ面に問題はないか、
再度ご確認くださいますよう宜しくお願いいたします。
(3)お客様がお使いのFTPパスワードが単純な英単語の組み合わせなど、容易に
推測される文字列であり、パスワードを推測され、乗っ取られた可能性
—————————————————————–
お客様はWordpressを該当ドメインでお使いのようでございますが、
この度の不正アクセスは上記の可能性の中で
このプログラムに対する不正なアクセスを受けたもの、
つまり(2)による改ざんの可能性が非常に高いようでございます。
不正アクセスをそのままにしておきますと、お客様のサーバーアカウント上で
大量のメール送信やフィッシングサイトの開設等が行われる可能性がございます。
大量メール送信は、各種プロバイダーにSPAMサーバーとして認定される場合
がある等、該当サーバーに対してのリスクが非常に大きく、
他の利用者様に多大な迷惑がかかってしまうものでございます。
上記の理由により、一旦WEB接続を制限し、FTPのみの接続に制限を行わせて
いただきました。
また、(2)の可能性が高いとご案内いたしておりますが、
お客様のFTPパスワードが漏れている可能性がございます。
そのため、FTPパスワード(サーバーIDのパスワード)の強制変更、
および追加FTPアカウントの強制削除をいたしております。
こちらのメールと併せて、ご登録メールアドレス宛てに初期FTPアカウントの
パスワードの通知を行いましたので、大変お手数ではございますが、
ご確認の上、以下の手順によりサーバー内の削除・再設定をお願いいたします。
———————————————————————
1.お客様のPCにてウィルスソフトを最新のものにしていただき、
ウィルスチェック・駆除をします。
※ お使いのPCがウィルスに感染した事により、
FTPパスワードが盗まれた可能性もございます。
必ずウィルスチェックをしてください。
2.お客様のPCにてWindows UPDATEやその他お使いのソフトの
バージョンアップなど、ご利用環境を最新のものにしてください。
(Adobe Reader、Flash Playerなどのバージョンアップも併せてお願いします)
※ 昨今ではAdobe Readerの脆弱性を突いたウィルスの流行がございました。
上記ソフトをお使いの場合、必ずバージョンアップをしてください。
また、Javascriptの設定は必ずOFFへとお切り替えください。
3.必要に応じてFTPパスワードを変更します
初期FTPアカウントのパスワード(サーバーIDのパスワード)は弊社にて
変更いたしましたが、必要に応じてお客様が覚えやすいパスワードへと
再度ご変更ください。
単純な英単語の羅列ではなく、数字などを絡めたわかりづらいものへと
ご変更ください。
「サーバーパネル」→「パスワード変更」より変更が可能です。
インフォパネルのパスワードではございませんのでご注意ください。
尚、追加FTPアカウントにつきましては、再度サーバーパネルの
「FTPアカウント設定」より、以前とは異なるパスワードをご入力の上
追加を行ってくださいませ。
4.サーバー上のファイルを一度全て削除します。
「サーバーパネル」→「ドメイン設定」より、現在設定されている全ての
ドメインの追加設定を削除してください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
また、初期ドメインフォルダに関しましては、FTPにて削除を行う必要があります。
※ 削除が行えないといった場合、弊社にて全データの削除を行わせて頂きます。
その旨お知らせくださいませ。
※ ドメイン設定の削除により該当ドメインに関するwebデータ、
メールデータが全て削除されます。
必要なメールはあらかじめ受信してくださいますようお願いいたします。
改ざんされたファイル以外にも、悪意のあるプログラムを設置されている
可能性がございます。大変お手数ですが、FTPにてサーバーアカウント上の
【全てのファイル】を一度削除していだだきますようお願いいたします。
FTPパスワードが漏洩している可能性があるため、FTPにてアクセスできる
フォルダ上のファイルは念のために全て削除して頂く必要がございます。
※ cronを指定している場合はcronの登録削除をお願いいたします。
5.MySQLデータベースを全て削除します。
「サーバーパネル」→「MySQL設定」より、
現在設定中のMySQLデータベースを全て削除してください。
※こちらも必要に応じてバックアップデータをお取りください。
6.(4)(5)のご対応をいただきましたら、サポートまでお知らせください。
webアクセス凍結解除お手続きを行います。
お手続き完了は、(4)完了のご連絡をサポートが確認しましてから
早ければ当日中、お時間がかかる場合にも一両日中には完了いたします。
【!】お客様からのご連絡は外部フリーメールやプロバイダーのメールなど、
(4)をご対応後も受信可能なメールアドレスからお願いいたします。
7.(6)のwebアクセス凍結解除完了後、サーバーパネルからのドメイン設定追加、
メールアカウント設定、FTPによるデータアップロードなどを行ってください。
※CGI等お使いの場合はパーミッションの変更にご注意ください。
※ドメイン設定の追加反映まで数時間程度お時間がかかります。
【!】ご注意ください
現在ホームページにてご利用のプログラムについて、
脆弱性が存在しないかどうか必ずご確認ください。
有名プログラムにて脆弱性が存在する旧バージョンをご利用でないか、
またプラグインも含めて脆弱性に関するニュースが流れていないかなど、
ご利用プログラムがセキュリティ上問題がないか、
常にご確認くださいますようお願いいたします。
※脆弱性が存在するプログラムをそのまま利用されますと、
第三者に容易に改ざんされてしまいます。
Wordpressの場合、直近では以下のような脆弱性が公開されておりました。
<ご参考>
http://ja.wordpress.org/2011/06/22/passwords-reset/
8.FTP上にphp.iniを設置して頂き、以下の設定を行って頂く事を強くお勧めします。
PHP 5.1をご利用の場合
allow_url_fopenをOFFにご設定ください。
※デフォルトではONになっております。
allow_url_fopenをOFFにする事で、
プログラム内から外部ファイルの読み込みや実行を禁止します。
PHP 5.2または5.3をご利用の場合
allow_url_includeをはOffにご設定ください。
※デフォルトではOFFになっておりますので、お客様にて変更を行われている場合のみ
ご対応ください。
allow_url_includeをOFFにする事で、セキュリティリスクの高い関数を禁止します。
不正アクセスによる改ざんの原因として、不正に外部プログラムを実行させる脆弱性に
起因する場合が多くございます。Offとする事で万一プログラムに脆弱性があった場合でも
回避できる可能性が高まります。セキュリティ対策として、Offにする事をぜひ推奨します。
尚、php.iniの設定は、サーバーパネルの「php.ini設定」より、
簡単に設定・編集が可能でございます。
ご参考:マニュアル:php.ini設定
http://www.xserver.ne.jp/man_server_phpini_edit.php
———————————————————————
大変お手数ではございますが、何卒ご対応の程宜しくお願い申し上げます。
・・・・・とまあ、そんなわけで、全部サーバ上のファイルとデータベースを消しました。
みなさんもゆめゆめご注意を。
あと、このブログのコンテンツはイマイチ面白くなかったので、バックアップ取りませんでした。
・・・というよりも、サーバ上のデータをバックアップしても、すでにPHPが改ざんされているわけですし(笑)。
というわけで、また一から記事を書いていこうと思います。