XREA バリューサーバーがハッキングされた件

昨日の夕方、XREAのバリューサーバーのうち、s1.valueserver.jp にあるサイトがハッキングされた。
自分もここを使っていたので、被害を受けた当事者の一人になった。
WordPressサイトが6つ、HTMLサイトが2つほど被害を受けた形だが、さすがに最初に見た時は焦った。
一目でハッキングされたとわかったからだ。
なんせ、「Hacked By Index Php」というメッセージが目に飛び込んできたので・・・
しかも、御丁寧なことにBGM付きで・・・

心を落ち着けて、とりあえず被害状況を調査することにした。
FTPでは無事入れた。
もし入れなかったら、最悪の事態も考えられる。
日付の新しいファイルを確認してみると、index.php, index.html あるいはindex.htm が改ざんされ、in.php, id.htm というファイルが追加されていた。
他のファイルの改ざんはないようだ。

被害をまとめてみると、全ディレクトリにおいて、index.* がある場合は改ざんされ、上記のファイルが追加されている感じか。
まあ、あたふたしたわけだが、自分がいろいろやっているうちに、サ-バー管理者側で問題のファイルを全て削除したようだ。
つまり、ハッキングされたページはもう表示されないが、index.* というファイルが全く無い状態になったのでサイトは当然表示されない。

HTMLサイトについては、PCにあるバックアップデータでサーバーのデータを上書きすることによって元に戻ったのだが、WordPressはちょっとやっかいだった。
ドメインのルートに index.php をアップロードしただけではサイトが表示されないし、管理画面にもログインできない。

管理画面にログインできないのは、wp-adminディレクトリにある index.php が削除されているためなので、まずはこれをアップロードする。
サイトが表示されないのは、使用しているテンプレートのディレクトリにある index.php が無いためで、これも再アップロードすることによって表示されるようになる。
ちなみにテンプレート中のindex.php がないとトップページは表示されないが、それ以外の記事ページはちゃんと表示される。

今回は s1.valueserver.jp にある全てのサイトが同様のハッキングを受けたようで、XREA側では他のサーバーのセキュリティ状況もチェックしているようだ。

このように書いていると、それなりに冷静に対処したように見えるが、実はかなり焦りまくりだった。
WordPressの管理画面に入って記事が無事なのを確認するまでは生きた心地がしなかった。
最初は管理画面に入れない理由がわからなかったもんで・・・
パスワードを変えられたのか・・・とか。

ここのところ、記事の投稿ばかりに力を注いでいた結果、バックアップがけっこういい加減だったから。
WordPressの場合、データベースが改ざんされていたら、バックアップをとっていない限りお手上げだったのだが、それがなくてホントよかった。

改ざん行為は19日の夕方から少なくとも数回あったのだが、本日夜にはどうやら終息したようだ。
実際には最初のハッキングで仕掛けられたプログラムがずっと悪さをしていたらしい。
あるユーザーのスペースに置かれたプログラムが、ルート権限を奪った上で、全ユーザーに対してファイルの書き換えを行ったとのこと。
であれば、もっと無茶なこともできたと思うのだが、これは警告という意味なのだろうか。

今回、改ざんされたファイル index.* は管理者側で削除したのだが、そのファイルの復旧はユーザー各自でやってほしいとのアナウンスがあった。
バリューサーバーがハッキングされたことを知らないユーザーは、ある日、何も表示されていない自分のサイトを見て焦る・・・ということになるのだろうか・・・

新年早々(でもないが・・・)かんべんしてほしい事件であった。

コメントを残す

*

サブコンテンツ

このページの先頭へ