ウェブサイト改ざんもバックアップがない場合の対処法

前回、前々回とエックスサーバーがマルウェアに感染でサイト改ざん。
結果は現在まで問題ナシ、ということでとりあえずOKとする。

ネットでウェブサイト改ざん対策の情報を探しているうちに、こんな事例を見つけました。同じようにエックスサーバーが改ざんされて、エックスサーバーから連絡。

とらえずサイトを閉鎖し、案内ページを表示。
普通の企業などの婆AI、これは良い対応だと思います。

しかしその後は復旧の目処が立たず。１か月以上もリカバリできないまま。
理由は、マルウェアやバックドアを探しているからと。

いやね、同等のスキルレベルがあれば可能でしょう。
でも私など、ワードプレスを普通に運用できるくらいのスキルでは無理だと思います。

作られたファイルを削除なんかはできますが、ループしますからね。
つまりスキル不足ならスキル不足なりの対応が、必要だと思うのですね。

スキル不足といっても無能というわけではなく、私のようなワードプレスちょっといじれるくらいが大半でしょう。

経営者の視点から考えれば、技術的なことはどうでもいい。
ビジネスとしての損失を発生させる前に、さっさと復元して欲しいわけです。

なので、さっさとバックアップを復元。ローカルに別フォルダで隔離。
ドメインを初期化してファイルを転送する。この時に不要なファイルなどは削除。

今回の私の場合は、この方法で成功したわけです。
超ロースキルでも復元できちゃうわけですね。

ただこれ、サーバーのバックアップしかないのなら１～２週間以内が必須。
サーバーのファイルを消したら、消した状態でバックアップされちゃう。

するとすっからかんの状態になってしまうわけですね。
別にバックアップがなければドボンなわけです。　

ではこのバックアップもなくドボンの状態ならどうするか？
私ならこうするかな、という方法を紹介します。

現存のDBでワードプレスを再作成

スパイウェアでもデータベースまで改ざんするプログラムは稀。
ということで、既存DBでワードプレスを新規に作成。

ただこれ画像などのファイルはありません。
でもコンテンツが復活するだけでも、かなり違いますからね。

今なら画像生成AIもあるので、過去記事の見直しも含めて復元します。

DBも汚染されていた場合

WPを既存のDBで作成するも、DBまでマルウェアに汚染されていた場合。
そのDBからマルウェアを取り除く、なんて高度なことはできませんよね。

ということでその場合は、DBの内部から投稿をコピペだ。
新しいDBで新規にWPを作成、汚染されたDBの中身からチマチマとコピペ。

DBの中にはこのように記事内容も残っています。
面倒くさいのですが、この状況の最善かなと思います。

そもそもDBも死んでいる場合

バックアップもない、自動バックアップもなくなった。
DBも破壊されたなんて最悪の場合。

DBも死んでいる場合は、もう新規に作った方が良いのでは？
と思いますがサイトによってはまだまだ粘りましょう。

アーカイブサイトをチェック。
「ウェブ魚拓」や「Wayback Machine」などネットのアーカイブを記録するサイトをチェックします。

当サイトの記録もありました。ちょっと感動。

全ページでもないのですが、これならhtmlも画像もコピーで復元ができますね。

復活後の問題

サイト改ざんで復活するも、大きな課題があります。
それはセキュリティ対策が必要だけど、対応できない場合が多いということ。

バックアップがない、対応が遅れて自動バックアップが消えたなんて場合は、根本的にセキュリティ対策が必要でしょうね。

昔、知り合いのwebデザイナーに作成してもらった。
なんて場合は、まずセキュリティ対策はされていないことでしょう。

制作会社に相談するなど、急ぎでセキュリティ対策を行いましょう。

前回のエックスサーバーから改ざん。
１週間前のバックアップ復元で復活！

しかしバックドアが残っていたよう。
マルウェアが生成されてしまった。。。

404 NOT FOUND | Webマーケティングざっくりガイド

スモールビジネスのためのウェブ現場のあるある情報 管理人【桑野一哉】

blog-homepage.net

と思いきや、念のためFTPでチェックすると１０日後くらいにマルウェアも復活（涙）

ただエックスサーバーのセキュリティ対策によるものか、活動はナシ。なので完全復活を試みることに。

まずはマルウェアが復活していない日のバックアップを復元。今回は前日のファイルで大丈夫だったので、マルウェアが発生していない状態へ復元。

でも数日後にはバックドアによって、マルウェアが作成されるはず。
なのでバックドアが潜んであろうファイルを削除することに。

最新版のワードプレスなどであれば脆弱性もないだろうけど、放置していた古いWPやプログラムが怪しい。ならば怪しいを削除で解決できるとだろうという見立て。

見つかったのは、放置していたワードプレス。
phpプログラムなどがあるドメインを初期化。

稼働していて更新もやってるワードプレスは復元。
htmlサイトはノーリスクと考えて復元。

結果、そこから２週間ほどでも大丈夫！
ということで、私と同じくバックアップで対処した人は数日後にチェックを。

そして同じくマルウェアがあれば、古いシステムの見直しですね。
これでダメならもうワードプレスなどの再構築。

最初からやれよ！なのですが、実際は手間なので避けたいのが本音。
そんな状況のなかでの、今回の対策は、１４日たった今は大丈夫。

やはり古いプログラムの脆弱性から侵入されたかなと思います。
最新ワードプレスにプラグインで侵入されたなら、そりゃもう対策しようがないので。

今回もバックアップがあってことの余裕の対応。
ワードプレスを導入している人は、明日は若美なので定期的にチェックを。

マルウェアでエックスサーバー乗っ取り被害

ブログ投稿時に、４０３エラーなどが発生。
エラーに対処しようとしてるとエックスサーバーさんから連絡。

どうやら海外からのマルウェアにやられた模様。
その状況と対応の記録ですが、結果的にエックスサーバーで正解。

大量のメール送信スパム

最初のメールは、あるドメインから迷惑メールを配信していると。
その原因は海外からのアクセス集中なので、DoS攻撃なのでしょう。

ちょうどサーバー内を見ていると、他のドメインにもlock360.php、about.php、radio.php、content.php、index.php など同じタイムスタンプの不審なファイルが。

.htaccessで指定してあって、削除しても復活・・・

以前にもあったのでダメ元で削除しても、当然復活する。
もうこの時点で、修復ではなく削除でリカバリと決断する。

無限に作られるプログラムの場所を特定するスキルもないし、発見しても数万のファイルが発生するはず。ということでさっさと決断。

データをそのままサーバーから持ってきても、マルウェアももらってくるだけ。
データベースは残ってるだろうから、再インストールというチカラ技か・・・

と考えたら、たしかエックスサーバーは自動バックアップがあったはず。
あれ、でも設定とかしてたかな？？？と不安になりつつ確認すると、勝手にバックアップを取得してくれていました！ エックスサーバーさん、愛してます♪

単純にマルウェアが侵入する前に戻すだけでは、同じです。
ただワードプレスは自動更新。プラグインもテーマも自動更新。
サイトガードでxmlなどもオフにし、ログインページも変更して文字認証も導入していたのに、ハッキング。

FTPの進入ではない。※調査もしてくださいました。

今回は海外からワードプレスのフォームを利用した形跡がある。
サイトの停止も行わず、マルウェアの無効化設定で暫定処理。
これは本当に助かりました。
さらに「WordPressセキュリティ設定」の全機能を有効化してくださいました。

そして対処としては、全ファイルの削除とドメインのリセット。
再インストールを行い、クリアな状態にしました。と言いたいところですが、大変過ぎます。

なのでまずは、何もなかった数日前のバックアップを復元。
これでセキュリティ設定した状態で、過去の状態に戻る。

もちろん復元日にすでにマルウェアがともあり得ますが、考えにくい。
進入できたらスピード勝負、１週間後に起動しよう！なんて思いません。

なる早、秒で実行しますよね。バレて対処されたら終わりですから。
という都合のよい（現実的）な方法をとりました。

驚くべきリカバリーのスピードです。
ワードプレスが当たり前になるも、エンジニアではないユーザー。

自己責任で！とむげにしたら親切なサーバーに移転してしまうだけ。
なのでこのようにサーバー側で、高度な対応をするようになったのでしょう。

といってもエックスサーバーさんからしたら、それでOK！とは言えません。
全部チェックしてネ♪ と、素人には無理だろうけど、サーバー側としては頼むよ！と言うしかないですからね。

とりあえず１週間くらいは毎日FTPでもチェック。
それでも発生したら、あきらめて全消しで対応します。

そして一部、ブーストを利用していると使えない設定がありました。
ここは速度よりもセキュリティと言うことで、ブーストをV1に対応していきます。

また推奨され対応していただいたWAF設定などは、他のサーバーでもリスクがあるわけですから同様に対処していきたいと思います。

今回はとりあえずここまで。
エックスサーバーさんは、おすすめです。

してケロと。
セキュリティに関わるといわれたら無視するわけにはいきません。

ということで、ワードプレスで警告が出た場合の、phpのバージョンアップ方法（エックスサーバー）です。
webの情報発信をするような人だと、誰でもわかるだろ。って話ですけどね。

このサイトはエックスサーバーなので、管理画面からログイン。
「php」の設定からバージョン変更を選択。

phpのバージョン変更と。

7413にしました。

でも単純に最新の（推奨）にすればいい。
とも言い切れないのが悩ましいところです。

ワードプレスだけでもテーマやプラグインにjavaなどの問題があります。
タイミングによって最新のphpプログラムに対応していない場合もあるからですね。

その場合はphpのバージョンを、問題のないバージョンに戻しましょう。
ただこれまたプラグインやテーマの方がアップデートされない場合もあったり。

その場合はテーマやプラグインを変更することになるでしょうね。
セキュリティが最優先なのでしかたないですからね。

というわけで、ワードプレスで警告が出た場合の、phpのバージョンアップ方法（エックスサーバー）でした。

バックアップファイルが、フォルダ名のリネームか？の時にずっぽりなくなってる。imgフォルダなんかもなくなってる。

１０サイトくらい移転して、もう手順も流れもわかったので油断した。
なんてことないんだけど。

とほほ・・・

こんなマヌケな人はそうそういないだろうけど、一応手順というか何をやったかを記しておきます。

ファイル復元

ファイル復元ソフトで、バックアップファイルやフォルダごとをリカバリ。

復元できるも、ファイルが壊れています。
残念ながら、リカバリできず。

これって相当に運が悪いのでは・・・

ゴミ箱はもちろんPC内のフォルダの検索もするが、ないものはない。

元データもドメイン移転の解除でサーバー内のファイルもなし。

検索キャッシュからコピペ

まぁクライアントのでもないし稼いでるサイトでもないので、さっさと気持ちを切り替えてできるだけ復元と。

まぁ内容と、ＵＲＬが復元できればよしとしよう。

検索エンジンに「site:https:～」で残っているキャッシュをチェック。
でてきたページの「キャッシュ」があれば、htmlソースまでコピペだ。

ctl＋Ｕでソースがでるので、bodyあたりのところをコピペ。

移動した空っぽのWPサイトへ投稿と。
URLも出てるから、ちゃんと復元。

でも検索にキャッシュされていない場合、これではでてこない。
ただ評価の高いといわれるページから順に表示されるはずなので、期限があれば上位〇ページで区切ってもいいですね。

たぶん表示が消えてから数日でキャッシュも消えてしまうかもしれません。まずはこのキャッシュから復元がいいでしょうね。

ＤＢからコピペ

コピペでるの早くない！？ｗ
なんですがもうわからん。

ただコピペするにも、ファイルがない。

でも元サーバーのＤＢが残っている。
そこでＤＢ内のファイルを除くと、どうにかありました。

この中の「post」の中に、htmlソースがあります。

そして「post_name」などでURLを確認できます。

こちらはサーバーの契約が終わるまで。です。
私の場合は残り５日です。

ウェブ魚拓

魚拓は登録しないととってくれませんが、海外のWayback Machineは勝手に登録してくてることが多いです。

運用歴がそこそこあれば、履歴が保存されている可能性があります。
かなり確率的には劣ってしまいますが、まぁキャッシュなどがなくなったら試すにはこれくらいしかないでしょう。

Wayback Machine

archive.org

画像

画像はローカルのフォルダはバラバラですが、いくらか残っています。
なのでキャッシュなどの期限前にとりあえずは記事をコピペ。

そのあとに、画像やアイキャッチを入れ込むつもり。
まぁほんと面倒な作業だけど、リニューアルだと思ってSEO的にも見直しをする機会だと思うしかないですね。

バックアップは大切ですが、バックアップファイルがリネーム？かなんかの挙動で消えたのは初めてです。
「切り取り」ではなく、すべての作業が終わるまで「コピー」ですね。

とほほ。

あーあ。とおもっていたのですが、エックスサーバーって、DBの自動バックアップがついてたはず！
ということでDBの復元にチャレンジしてみました。

エックスサーバーのMysqlの設定画面にいくと、過去１週間分のDBがバックアップされてました。なんとも親切！

今回は放置していたサイトなので、MAX１週間前のDBを選択して復元をポチ。

「修復準備中」と表示され、少し待つと完了

これでDBの復元ができて、めでたしめでたし。

ちなみに私の原因は別にあって、DBユーザーの設定が違っていたのでした。
ユーザーを新規に作り直して接続したらOKでした。

めでたし、めでたし。

手順は大きく２つ、サーバーとサイト。

これはどこでも同じようですね。

【１】エックスサーバー側のSSL設定

【２】サイト側のSSL設定

【１】エックスサーバー側のSSL設定

無料独自SSL設定 こちらのマニュアルページはこちら。 もうほんと、クリックだけ。

私はいつも設定対象ドメインから選択しているので、ドメインを選んでから、【SSL設定】を選びましたが、同じでした。

ドメインを選んでSSL化を選んで、ポチです。

一瞬、CSR情報情報の入力方法がめんどくさそうでしたが、実質「都道府県」と「市町村」だけなので実はらくちんです。 これで設定ボタンを押せばOKです。

【２】サイト側のSSL設定

つぎはサイト側のSSL設定です。 エックスサーバーの場合は、ワードプレスもHTMLも同じで、「.htaccess」へのリダイレクト情報の追加（なければ新規作成）です。

こちらの手順は、↓【Webサイトの常時SSL化】マニュアルがあります。

もうこれだけ。 手順が１つだけなのでとてもシンプルですね。

以上でエックスサーバーのSSL化の手順は終了です。

〇リンク「の修正

サーバーでのSSL表示はできました、リンクに関しては以前のままです。

「http://~」を「https://～」に修正したほうがいいですね。

手順として参考になったのはこちらのサイトです。

〇自分用メモ

自分のサイトでえっくっすサーバーでSSL化したサイトです。

所持サイトが多いのではてしない作業になります。

そんな時に正常にできたサイトをお手本にするのです。

アイドルイベントクラブ

アキバを中心としたグラビアアイドル、ライブアイドルのイベント情報をピックアップしたブログです。

idol-event.com

健康姫

生活習慣病の原因をつくらない、賢い女性の健康管理の知恵。　商売目的のプロが学校では教えてもらえない、あなたに合った健康情報の選び方。

princess-health.com