マルウェアでエックスサーバー乗っ取り被害

ブログ投稿時に、４０３エラーなどが発生。
エラーに対処しようとしてるとエックスサーバーさんから連絡。

どうやら海外からのマルウェアにやられた模様。
その状況と対応の記録ですが、結果的にエックスサーバーで正解。

大量のメール送信スパム

最初のメールは、あるドメインから迷惑メールを配信していると。
その原因は海外からのアクセス集中なので、DoS攻撃なのでしょう。

ちょうどサーバー内を見ていると、他のドメインにもlock360.php、about.php、radio.php、content.php、index.php など同じタイムスタンプの不審なファイルが。

.htaccessで指定してあって、削除しても復活・・・

以前にもあったのでダメ元で削除しても、当然復活する。
もうこの時点で、修復ではなく削除でリカバリと決断する。

無限に作られるプログラムの場所を特定するスキルもないし、発見しても数万のファイルが発生するはず。ということでさっさと決断。

データをそのままサーバーから持ってきても、マルウェアももらってくるだけ。
データベースは残ってるだろうから、再インストールというチカラ技か・・・

と考えたら、たしかエックスサーバーは自動バックアップがあったはず。
あれ、でも設定とかしてたかな？？？と不安になりつつ確認すると、勝手にバックアップを取得してくれていました！ エックスサーバーさん、愛してます♪

単純にマルウェアが侵入する前に戻すだけでは、同じです。
ただワードプレスは自動更新。プラグインもテーマも自動更新。
サイトガードでxmlなどもオフにし、ログインページも変更して文字認証も導入していたのに、ハッキング。

FTPの進入ではない。※調査もしてくださいました。

今回は海外からワードプレスのフォームを利用した形跡がある。
サイトの停止も行わず、マルウェアの無効化設定で暫定処理。
これは本当に助かりました。
さらに「WordPressセキュリティ設定」の全機能を有効化してくださいました。

そして対処としては、全ファイルの削除とドメインのリセット。
再インストールを行い、クリアな状態にしました。と言いたいところですが、大変過ぎます。

なのでまずは、何もなかった数日前のバックアップを復元。
これでセキュリティ設定した状態で、過去の状態に戻る。

もちろん復元日にすでにマルウェアがともあり得ますが、考えにくい。
進入できたらスピード勝負、１週間後に起動しよう！なんて思いません。

なる早、秒で実行しますよね。バレて対処されたら終わりですから。
という都合のよい（現実的）な方法をとりました。

驚くべきリカバリーのスピードです。
ワードプレスが当たり前になるも、エンジニアではないユーザー。

自己責任で！とむげにしたら親切なサーバーに移転してしまうだけ。
なのでこのようにサーバー側で、高度な対応をするようになったのでしょう。

といってもエックスサーバーさんからしたら、それでOK！とは言えません。
全部チェックしてネ♪ と、素人には無理だろうけど、サーバー側としては頼むよ！と言うしかないですからね。

とりあえず１週間くらいは毎日FTPでもチェック。
それでも発生したら、あきらめて全消しで対応します。

そして一部、ブーストを利用していると使えない設定がありました。
ここは速度よりもセキュリティと言うことで、ブーストをV1に対応していきます。

また推奨され対応していただいたWAF設定などは、他のサーバーでもリスクがあるわけですから同様に対処していきたいと思います。

今回はとりあえずここまで。
エックスサーバーさんは、おすすめです。

ウィンドウズ１０

ウィンドウズ１０で、あるソフトがダウンロードできない。

アフィリエイトツールなので、一般的なソフトじゃぁない。
なのであまり遭遇しないだろうけど、ブログにしておく。

「詳細」などをクリックしてもダウンロードしてくれない。
Googleのヘルプに行くも、意味不明。

Chromeのアンインストール、再インストールでできた！なんて記事も見つけたけど、ＩＥでも同じ症状。

ユーザーの選択式にしてくれよ、と思うけど解決するのが先決。

リアルタイム保護

解決したのは、セキュリティセンターにある「リアルタイム保護」を一時的にオフ。
ダウンロード後、保護をオン。

もちろんおすすめできる方法ではないですが、ダウンロードする必要があったのでこれでOK。

もちろんウイルスソフトが優先されている場合は、同じく一時的に解除することでダウンロードできるでしょう。

ただ思い当たらない場合、そりゃ怪しいソフトと思われます。
ある程度わかってる人だけ、自己責任でお願いします♪

ランサムウェアとはウイルスの一種

ウイルスの一種がランサムウェア。　Ransom＝「身代金」　なので、今ま
でのウイルスのようにいたずらで済まなくて、パソコンをロックやデータを暗号化し、代金を支払えば解除する。というタイプのプログラムですね。

特に最近ニュースになっているのは、100カ国以上で被害がでている「WannaCry」というランサムウェア。　ウイルス対策していないのは当然として、XPなどの古いOSを搭載したパソコンが狙われるといわれていたんですね。

被害が多いのはウィンドウズ７

ところがツイッターで、ロシアのセキュリティ企業Kaspersky Labのグローバルリサーチ担当ディレクター、コスティン・ライウ氏が感染経路のデータを発表したらXPなんてほとんど影響がなかったことが明らかになったんです。

ズバリ！「WannaCry」に感染したPCの98％は「Windows 7」で、噂で一番多かったXPではなかったんですね。　まぁターゲットにするなrあ利用者が多いOSを狙うっちゃぁ狙いますからね。

被害が広がった原因は人の問題

もっとも被害が多かったのが、ウィンドウズ７。でも、８に１０も出てるんだから７は古いOS。だからやっぱり古いOSが問題なんじゃないの？　と思ってしまいそうですが、違います。

今回のランサムウェア対策のパッチは、３月にはすでは配布済みなんですね。　そのうえで、マイクロソフトはサポートが終了しているXPのパッチ（対応ソフト）を急遽配布などの対応も行いました。

つまり、これだけ世界的な問題も、ただただアップデートを怠っていたってだけ。いわばパソコンを使ってる人の問題なわけです。　これについては、アメリカのマイクロソフト社の法務担当上級副社長、ブラッド・スミス氏が政府機関に対して、

「今回の攻撃は、コンピュータを最新の状態にしておくというITの基本がすべての人々にとっての責任であり、全企業幹部が支援すべき課題だ」

と警告しているんですね。

PC利用者の教育が必要

どんなにセキュリティを強化しても、まだまだ人的な問題でトラブルが発生ているのが現状。　詐欺メールのzipファイルを開いてしまったり、架空請求のメールに電話してしまったり。トラブルメーカーのあるあるうっかり行動ですね。

今回の件も当初は古いＸＰが問題と報道されていましたが、結果を調査してみれば、単に対応していなかっただけ。　これが会社のパソコンだったりしたら業務に影響がでることは間違いありません。

不用意なSNS、個人情報の漏洩などよりももっと基本的なところで、パソコンを扱う人間のリテラシー教育が必要な時代なんですね。　ただの怠慢なら被害者ではなくて加害者になるわけですから。

スマホは大丈夫だとしても、パソコンの場合はとりあえずセキュリティソフト（ウイルス対策ソフト）は入れて、アップデートもちゃんとやっておく必要があるってことですね。