【対策 その1】 サーバー内のファイルの清浄化

さて、ここからがハッキング対策の開始です。
前のページでは、まだショックな事実に恐怖:(;゙゚'ω゚'):して、何をして良いのか今ひとつわかりませんでした。

とりあえず、ウイルスが仕込まれてないか、不正なコードやファイルは仕込まれていないかチェックするので精一杯でした。

でも、だんだんやるべきことが見えてきました。
(私のセキュリティの脆弱性や不正なコードやファイルのチェックなど、何度も対応して下さったヘテムルの担当者様には、本当に感謝です。(;人;) )

スポンサーリンク

サーバー内のファイルを更新

前のページでも書きましたが、とりあえずサーバー内を確認しました。
(不審なファイルなどはありませんでした)

Google Search Console 内に書かれてあった悪意のあるファイルの入っていたフォルダもファイルもすでに存在していませんでした。

また、利用中のレンタルサーバーのヘテムルの担当者の方にチェックして頂きましたが、悪意のあるコード不正なファイルなども存在していませんでした。

でも、もしかしたら抜け落ちがあるかもしれません。
そこで、WebサイトのページのhtmlファイルWordressのデータ全て更新しなおしました。


WEBサイトのhtmlファイル
ローカル(PC)からアップロードしなおした

Wordpressのデータ
公式ページから最新のファイルをダウンロードし、アップロードしなおした


両者とも、悪意のあるファイル削除漏れがあると作業が無駄になるため、一旦全てのファイルを削除した後、改ざん被害に合っていないファイルを入れなおしました。


WAFを全てONにした

WAFとは、悪意のある行為防御するためのものです。
このWAFを設定しておくと、全てではないにしろ、悪意のある行為(コメントなど)は防御しやすくなります。

ヘテムルの場合、WAFはヘテムルの管理画面から設定することができます。

でも、WAFを設定してしまうと、自分も含めてコメントできない人が出てしまう恐れがあるので、コメント欄は閉鎖することにしました。(´-ω-`)

これは辛い決断でした。
うちは閑古鳥の零細弱小ブログではありますが、時々コメントを下さる方が居て、それが結構励みになっていたのです。

ですので、事実上、コメントできない状態になってしまったことは、私にとっては、ブログ閉鎖も考えるほどのダメージでした。(T^T)


他のツールでも調べてみた

あれやこれやとセキュリティのことを考えている時、ふと思ったのが、Google の Search Console での指摘されたセキュリティの問題以外の問題もあるのではないかと言うことです。

人の管理しているサーバー内に、悪意のあるファイルを突っ込んでくるようなやつです。

どう考えてもこれで終いとは思えませんでした。
そこで、他にも問題点があるのかどうか、他のツールでもチェックしてみることにしました。


Norton
Nortonのサイト診断ページ。
調べたいドメインを入力して診断すると、Nortonのデータベースの中から、そのドメイン内の既知の問題箇所を全部表示してくれるため、大変便利。
(通常の診断ツールはサブドメインやフォルダまで入力しないと見つけられないことが多い)

問題のあるフォルダやファイルがわからなかったり、問題のあるファイルやフォルダの確認漏れを調べたい場合には特に最適。


マカフィー
基本的にはNortonと同じ項目が引っかかった。
でも、こちらは汚染されたファイルのあるフォルダなどの情報がわかっていないと、まだ知らない悪意のあるファイルやコードやマルウェアの発見は難しい。


VirusTotal
多くのセキュリティソフトでそのドメインがどのような判定を受けているか調べることができる。
ただし、マカフィの時と同様、汚染されたファイルのあるフォルダなどの情報がわかっていないと、まだ知らない悪意のあるファイルやコードやマルウェアの発見は難しい。


Nortonの safeweb で調べた時、さらにハッカーによって commonフォルダ とそのフォルダ内に悪意のあるファイルが設置されていたことを発見しました。

そこで、サーバー内のファイルを再度調べなおしてみたのですが、やはりそのファイルもフォルダも発見できませんでした。(´・_・`)

そして、再度このことを使用中のレンタルサーバー会社のヘテムルに連絡。
ヘテムルからは、/common/フォルダが置かれた形跡はあるものの、今はなくなっているとの連絡を受けました。


メールサーバーは無事?

前のページでも書いたように、今回、一般には公表していないドメインまで、悪意のあるファイルやフォルダをおかれていたようでした。
(私は実際に目にしていないので、このような書き方になってしまいました)

そこで、ヘテムルの担当の方に、このドメインを使ったメールで重要なメールのやり取りをしていたが大丈夫かどうか、再度質問しました。

すると、すぐに返答が返ってきました。
それによると、「メールサーバーは別なので、恐らくメールサーバーの方はハッキングはされていないのではないか」とのおでした。

ただし、念のためFTPパスワードを変更するよう言われました。


全部のパスワードの変更

ヘテムルの担当者様からは、FTPパスワードを変更しておいた方が良いと指摘されましたが、色々と気持ち悪いので、ご指摘を受ける前に、全部のパスワードを変更していました。
(WEBサイトやブログのものだけでなく、全部のパスワードを変更)

この他、メールアドレスも新しい物に変更しました。
(一部、アカウントの新規取得が難しいGoogleのようにメールアドレスの変更ができなかったものもありましたが・・・。(;>_<))


スパムコメントの削除

Wordpressはアホみたいに大量のスパムコメントがやってきます。
それはもう、大量のスパムコメントです。
毎日毎日数十から百以上のスパムコメントで埋めつくされます。

普通のレンタルブログサービスでは想像もできない程の多さです。
多分、悪意のあるハッカーが絶えずクローラーを流していて、Wordpressのブログを発見し次第、そのブログを登録。

その後スパムコメント攻撃をしかけてくるようでした。
実際に、Wordpressのアクセスチェックの項目を見ていると、怪しげな謎のクローラーが頻繁にやってきて、ブログをネチネチと巡回しているのがわかります。

そんなわけで、それらのスパムコメントを自動で処理してくれる Wordpress プラグインの Akismet常時利用していたのですが、その処理したはずのスパムコメントの残骸がエクスポートした sqlファイル大量に残ってしまっていることに気がつきました。

Akismetは、スパムコメントを目に触れさせないように設定してしまうと、15日経たないとスパムコメントを削除しない上に、スパムコメントをツールの設定から削除することもできないため、データベースにデータが残ったままになるのです。

私はそれを知らなかったもので(てっきりすぐに削除されているものだとばかり思っていた)、完全にノーマークでした。

でも、それだけだったらまだ良かったのですが(良くないですが)、前のページでも書いたように、コメントできない状態を改善するため、運営中のブログでは、WAFをOFFにしていました。

ですので、Scriptなどの悪意のあるコードを入力できるようになってしまっていたのですが、Akismetを併用していると、それを発見することも削除することもできなかったのです。

そんなわけで、Akismet の処理したスパムコメントを phpMySql(データベース)から直に削除することにしました。

データベースを一度全てエキスポートし、Akismet のファイルがどこにあるのか調べると、どうやら、Akismet のデータは comennt_meta の中に格納されているようでした。

そこで、phpMySql(データベース)からcomennt_meta の中のデータを全部消去しました。

ちなみに、長年続けているブログなので、既定の設定のままですと、全ての記事・コメントデータのエクスポートができません。

ですので、『 作成するクエリの最大長 』 『 50000 』から 『 1000 』 変更してエキスポートしました。
すると、データベース内の全ての情報をエクスポートできるようになりました。


phpMyAdminのファイルサイズエラーとBigDumpの300 dump lines超えエラーの対処法


この他、ついでと言ってはなんですが、Wordpress の Delite debision で不要な過去の保存データを削除し、ついでにデータベースの最適化も行いました。


不審なIPアドレスによるアクセスの有無

使用中のレンタルサーバー会社のヘテムルに、ヘテムルFTPとヘテムルメールに不審なIPがないかどうか調べてもらうよう連絡しました。

と言うのも、ヘテムル本体にはログインの記録は残るのですが、ヘテムルメールヘテムルFTPログインの記録は見れないからです。

ですので、ヘテムルFTPとヘテムルメールへの不正なアクセスがあった場合は、ヘテムルの中の方に調べてもらう必要がありました。

翌日、早速返信が来ました。
それによると 『 調査中だが時間がかかる。明後日になるので了解して欲しい 』 とのことでした。


Googleから 『 安全が確認され、審査に通ったと 』 の通知を受け取る

Googleの Search Console では、セキュリティに問題があったサイトの審査を受けることができます。
審査の申請方法は簡単で、Search Consoleのセキュリティ問題のページから申請を行います。

私の場合、レンタルサーバー会社のチェックを受けた、脆弱性はできるだけ潰した件についても書いて申請しました。

すると、Googleから 『安全が確認された、審査に通った 』 とのメッセージを受け取りました。
(メール設定してあるとメールでも受け取れますし、Search Console内で確認することもできます)

このように、Googleのセキュリティーエラーの審査申請はすぐ通ったのですが、実際に Google Chromeセキュリティエラー警告が消えたのは、2週間以上経ってからでした。
(実は、審査通過後、すぐにセキュリティエラー警告が消えるものかと思ってたのですが、消えたのはかなり経ってからでしたの、しびれを切らしてフォーラムで質問しようかと思っていたところでした。(〃▽〃;))


Nortonではまだ問題がある

Nortonsafeweb でも再審査請求できます。
そこで、そちらでも再審査請求を出してみました。

しかし、まだ Norton safe web の方ではセキュリティに問題があるようでした。
(URLの箇所は***で隠してあります)

Threat Report

small-warning Phishing Attacks Threats found: 1
Here is a complete list: (for more information about a specific threat, click on the Threat Name below)

Location: *******************

Web sites rated "Caution" may have a small number of threats and annoyances, but are not considered dangerous enough to warrant a red "Warning". Proceed with caution.
The Norton rating is a result of Symantec's automated analysis system. Learn more.
The opinions of our users are reflected separately in the community rating on the right.
Threat Report

small-warning Phishing Attacks Threats found: 1
Here is a complete list: (for more information about a specific threat, click on the Threat Name below)

Location: *******************

そこで再度ヘテムルに以下の点について連絡し、再チェックしてもらうことにしました。


Googleの安全審査に通った事
(問題があると指摘された全ドメイン)

自分が行った安全対策

悪意のあるコードやファイルの有無
Norton safeweb ではまだ問題点が指摘されているようだが、私から見えないファイルやフォルダは存在しているのか?
(または、『 消える → 生成する 』 を繰り返しているファイルなのか?)


すると、すぐにヘテムルからの返答が来ました。


現在、問題のフォルダやファイルは見られない
(2016年2月6日には生成された形跡はあった)

生成されたり削除されているわけではない
Norton Safe Web で問題がある場合には、再申請して欲しい。

ヘテムルFTPには不審なログはなかった
ヘテムルメールの場合、ある程度絞込みがないと無理
(メールが送信された際の送信日時や接続元IPアドレス)


そのようなわけで、現在のところ、特に問題などはないようなので、Norton に審査の再申請をしました。
(再申請は英語で行いました)

すると、翌々日には 問題のあったドメインは問題なしになりました。
(メール用のドメインは、サーバー内にあったドメイン用フォルダを削除したせいか、UNTESTEDに変更されてました)



スポンサーリンク