マルウェアでエックスサーバー乗っ取り被害

ブログ投稿時に、４０３エラーなどが発生。
エラーに対処しようとしてるとエックスサーバーさんから連絡。

どうやら海外からのマルウェアにやられた模様。
その状況と対応の記録ですが、結果的にエックスサーバーで正解。

最初のメールは、あるドメインから迷惑メールを配信していると。
その原因は海外からのアクセス集中なので、DoS攻撃なのでしょう。

ちょうどサーバー内を見ていると、他のドメインにもlock360.php、about.php、radio.php、content.php、index.php など同じタイムスタンプの不審なファイルが。

.htaccessで指定してあって、削除しても復活・・・

以前にもあったのでダメ元で削除しても、当然復活する。
もうこの時点で、修復ではなく削除でリカバリと決断する。

無限に作られるプログラムの場所を特定するスキルもないし、発見しても数万のファイルが発生するはず。ということでさっさと決断。

データをそのままサーバーから持ってきても、マルウェアももらってくるだけ。
データベースは残ってるだろうから、再インストールというチカラ技か・・・

と考えたら、たしかエックスサーバーは自動バックアップがあったはず。
あれ、でも設定とかしてたかな？？？と不安になりつつ確認すると、勝手にバックアップを取得してくれていました！エックスサーバーさん、愛してます♪

単純にマルウェアが侵入する前に戻すだけでは、同じです。
ただワードプレスは自動更新。プラグインもテーマも自動更新。
サイトガードでxmlなどもオフにし、ログインページも変更して文字認証も導入していたのに、ハッキング。

FTPの進入ではない。※調査もしてくださいました。

今回は海外からワードプレスのフォームを利用した形跡がある。
サイトの停止も行わず、マルウェアの無効化設定で暫定処理。
これは本当に助かりました。
さらに「WordPressセキュリティ設定」の全機能を有効化してくださいました。

そして対処としては、全ファイルの削除とドメインのリセット。
再インストールを行い、クリアな状態にしました。と言いたいところですが、大変過ぎます。

なのでまずは、何もなかった数日前のバックアップを復元。
これでセキュリティ設定した状態で、過去の状態に戻る。

もちろん復元日にすでにマルウェアがともあり得ますが、考えにくい。
進入できたらスピード勝負、１週間後に起動しよう！なんて思いません。

なる早、秒で実行しますよね。バレて対処されたら終わりですから。
という都合のよい（現実的）な方法をとりました。

驚くべきリカバリーのスピードです。
ワードプレスが当たり前になるも、エンジニアではないユーザー。

自己責任で！とむげにしたら親切なサーバーに移転してしまうだけ。
なのでこのようにサーバー側で、高度な対応をするようになったのでしょう。

といってもエックスサーバーさんからしたら、それでOK！とは言えません。
全部チェックしてネ♪ と、素人には無理だろうけど、サーバー側としては頼むよ！と言うしかないですからね。

とりあえず１週間くらいは毎日FTPでもチェック。
それでも発生したら、あきらめて全消しで対応します。

そして一部、ブーストを利用していると使えない設定がありました。
ここは速度よりもセキュリティと言うことで、ブーストをV1に対応していきます。

また推奨され対応していただいたWAF設定などは、他のサーバーでもリスクがあるわけですから同様に対処していきたいと思います。

今回はとりあえずここまで。
エックスサーバーさんは、おすすめです。