wordpressブログがガンブラーウイルスに感染したよ
3月からフィリピンに渡り、現地からブログを更新したり、デザイン編集のためにFTP操作してたところ。。。6月中旬にエックスサーバーから連絡が。
サーバーアカウントより、メール送信プログラム(Sendmail)を用いて 多数の海外のメールアドレスへ大量のメール送信処理を確認いたし ました。 調査をいたしましたところ、【日本国外】からの不審なアクセスが多数見受けられました。
なにそれ。テスト用も含めて6ドメイン+サブドメインあったから、、、考えたくない。 6月といえば結構忙しく過ごしてた頃で、エックスサーバーアカウント用のメールもチェックしてませんでした。 たぶん、チラっと見たのが7月になってから。この旧ブログと、メインとしてる旅ブログだけを残し他のファイルをFTPから全部削除。つまり4つくらいあった地域特化サイトを消したわけです。エックスサーバー側からも、疑わしいドメインとして報告されてるのは、その2つ以外だったので。 あーあとにかく落ち着いたらチェックして再アップロードするか~と思って。
そして7月。旅ブログ開いたら
きゃー\(^o^)/
遅かったみたい。 しかしこの時わたしはベトナム。数日後から中国。その後ミャンマー。。。つまりネット環境最悪。 途中でタイやラオスというネット天国に立ち寄るも、他のことに忙しくてwordpress操作を再優先する余裕なし。
考えられる不正アクセス原因
- PCがウィルスに感染し、FTP情報(パスワード)が流出した可能性
- 日本国外からのアクセスが原因で不正アクセスの被害に遭った可能性
- サーバー上にアップロードしたプログラムの脆弱性を突かれたことにより不正なファイルをアップロードされた可能性
- FTPパスワードが単純な英単語の組み合わせなど、容易に推測される文字列であり、パスワードを推測され、乗っ取られた可能性
わたしの場合、2番めですね。もともと大嫌いなフィリピンがさらに嫌いに(フィリピンのせいじゃない)
ガンブラーウィルスによるサイト改ざんされて、まず行ったこと
とにかくFTPからファイル全部削除。
FTP空っぽにしました。 エックスサーバーに登録してあったドメイン、データベース、メール等を全部削除 初期状態に。 SNS等のプロフに記載してあったブログリンク削除。 この期間中にアクセスした方には本当に申し訳ないですm(__)m
ファイルチェック。
とりあえず、index.php と .htaccess を開いてみる。 当然、index.php はこんな感じになってました。
シャドーチームハッカーズさんが作ったみたい。
/(^o^)\オワタ-て気分で淡々と削除してた私。さぁどうする
同サイト・ブログを復活させるには
FTPから削除したフォルダ・ファイルをセキュリティーソフトやサイトで細かく入念にチェックして、再アップロードすればOKです。
私は再アップロードしませんでした。。
被害内容と範囲はサイトによりますが、わたしの被害については アップロードした画像からの不正アクセスが大量に組み込まれていたので、なんか。。。もう、ね。
数千枚をチェックするのも面倒くさい。Nortonなどのセキュリティーソフトでチェックするも、なんとなく不信感があって気持ち悪くて再アップロードする気になれない。。。
1から、てゆかゼロからスタート
この方が早いと決断しました。 バックアップデータも捨てて、エックスサーバーにドメイン等を再登録。このブログを含め、いくつかドメインも変えました。
これまでとの変更点
とりあえず、あらゆるIDとパスワードを複雑なものにしました。 メモってないと覚えられない感じに。データベース、FTP、メール、wordpressログイン、、、いろいろ全部。
パーミッションの変更
wp-config.phpは400に、.htaccessは604 は最低限の設定。 さらに、画像は604、ディレクトリ705。 777設定は無くす。
初心者さんへ。とりあえず、最低限すべき対策
ユーザー名はadmin以外で。 スパム対策プラグイン必須。 os、Java、wordpress、phpなど、すべて最新のものにする。 PCにセキュリティソフトを入れる。
海外からFTPへアクセスするのは危険!
とにかく、私の今回の原因はコレですね。 ファイルをいじりたい時は、web上のサーバーから操作しましょう。。。
ため息が止まらない・・・150記事ほどだったけど、まとめ記事が多くアクセスも多かったので、あぁ(´_`。)
とりあえず一服
[adsense1]