フォトポタ日記、営業再開のおしらせ

乗っ取られ中のフォトポタ日記。いつから、鳥ブログになったんだ・・・。

乗っ取られ中のフォトポタ日記。いつから、鳥ブログになったんだ・・・。

ここ1週間ほど、本ブログ、フォトポタ日記が超不安定な状態になっていましたが、12月12日朝3時頃、ようやく復旧いたしました。

なかなか大変な復旧作業でしたので、メモを残しておきます。ふぅ



おや?おかしいぞ・・・

普段、1~2日に1回ほど、フォトポタ日記を見ているのですが、12月になってから表示が非常に遅くなったり、「Internal Server Error」というエラーが出るようになっていました。

自分が利用しているサーバー(さくら・スタンダード)では、複数処理が重なるとエラーとなることがあるので、フォトポタ日記のアクセス状況を見てみました。

普段は10000ビュー/日なのに、70000近くまで急上昇!♪

普段は10000ビュー/日なのに、70000近くまで急上昇!♪

すると、アクセス数がうなぎ上りに増えていることが分かりました。

普段は1日で10000弱くらいのページビューが、20000くらいに倍増し、そこからもグングン伸びているのです!

「サーバーが落ちるくらい、人気が出てきたか?(更新してないのに)と呑気に構えていたのですが、12月10日あたりからはトンデモない数に膨れ上がり、ブログ本体はもちろん、管理画面へのログインすらできなくなってしまいました。

ごくごく稀にブログ本体は開けることもあるのですが、見たこともない怪しい広告(でもアダルトではない。少し残念)が表示されてしまう状況。

なんで、流しを紹介してるんだ、フォトポタ日記は(やりかねないけど・・・)

なんで、流しを紹介してるんだ、フォトポタ日記は(やりかねないけど・・・)

ここにきて、ようやく事の重大性を認識しました。

「もしかして、どこかからアタックされているかも?」

幸い、確認されている異常は以下の3点で、特段、人命や財産、国家や人類の存亡にかかるようなものではなさそうですが、なんとかせねば・・・

  • アクセスが非常に重くなっていて、表示されないことが多い
  • 表示されても、変な広告が並んでいる
  • 管理画面に入れない

なんじゃ、こりゃ~

不調の原因を調べるべく、とりあえずブログのトップ画面ファイルを確認してみます。

本ブログのトップ画面は、https://fotopota.sakuraweb.comですが、ファイルとしての実体は「index.php」というファイルになります(世の中の大多数はそうかと)

こちらを開いてみると、明らかに改ざんされたコードが埋め込まれていました・・・!

健康な時のindex.php

健康な時のindex.php

改竄されたindex.php。ひどいもんです・・。

改竄されたindex.php。ひどいもんです・・。

また、ブログの各ページ(≒フォルダ)へのアクセスを規程する「.htaccess」というファイルにも、見たことがない記述が埋め込まれていました。

そして、これらのファイルがサーバー内の無数のフォルダの隅々まで配置されていて、その数は、合計で3万個程度という膨大な数・・・。

これら以外にも見たことないファイルやフォルダ、これまた数千個もシンボリックリンク(Windowsで言うところの「ショートカット」)が格納されたフォルダなど、不審ファイルだらけになっています。

もちろん、人間の手でこんなことができるとは思えないので、何らかの不正プログラムによって書き込まれたものと思われます。

このような不正プログラムは、古くは「ウイルス」、最近では「マルウェア」などと呼ばれるようですが、「ホームページ」や「ハッカー」のように、用語の定義を巡って揉めそうなので、以下では、一般的になじみの深い「ウンコ」または「ウンコファイル」と記載することにしましょう。

途方に暮れつつ、人力でこれらのウンコファイルを削除し始めたのですが、驚いたことに、削除してるそばから新しいウンコが製造されてよみがえってきます・・・!

削除しても削除してもよみがえる、膨大な数のウンコ。

拭いても拭いても出てくるウンコ。

ウンコだらけのフォトポタ日記サーバー。

この先、どうなってしまうのでしょう・・・。

根こそぎウンコを拭き取る!

通常、ブログを運営するには管理ソフト(WordPressが一般的で、フォトポタ日記もそうです)と、画像などのアップロードのためにFTPソフトを用いたりします。

しかし、これらのツールだけで数万個のウンコを見つけ出して、かつ、甦る前に拭きとるのは不可能です。

幸い、自分が契約している「さくらサーバー」では、サーバーへのリモートログイン(SSH)が使えるので、UNIXのコマンドラインで調査・対策が打てます。

そこで、以下のように怪しげなウンコを片っ端から削除するところから戦いを始めてみました。

不正に製造されたindex.phpファイル
普段いじることのないファイルなので、最近10日以内に更新された、全フォルダのindex.phpを削除します。

      find . -type f -mtime -10 -name "index.php" | xargs rm    
不正に製造された.htaccessファイル
index.phpと同様、最近10日以内に更新された、全フォルダの.htaccessを削除します。
1万個以上ありました・・・。

      find . -type f -mtime -10 -name ".htaccess" | xargs rm
不正コードが埋め込まれたファイル
index.php、.htaccess以外にも怪しいコードを埋め込まれたPHPファイルがあったので、「怪しいコード」の一部を目印に、全フォルダのウンコファイルを問答無用で削除。

      find . -name "*.php" | xargs grep -l "7Vr5etpIEn8AP0VHYSP" | xargs rm
見たことがないファイル・フォルダ
どう見てもアヤシイ、見たことがないウンコファイルやウンコフォルダがあちこちにあったので、同様コマンドで全部削除。

  • about.php、radio.phpなどの身に覚えがないphpファイル
  • InstallAnywhereという超アヤシイフォルダー
ブログルートにあった、謎のフォルダ
ルートフォルダに数千個のシンボリックを格納したフォルダ(FOXなんとか)が作られていました。このフォルダを見つけたときは、ゴキブリの群れ(またはウンコ)を見たときのように鳥肌が立ちましたが、勇気を出してunlinkとrmコマンドで全部削除。

これらの作業によって、とりあえず怪しいウンコ類は削除できたのですが、念のために、現時点でサーバー上で実行されているプロセスを見ると、身に覚えのない、PHPプロセス(index.php)が大量に実行されていました。

どういう仕組みで起動されているのか謎ですが、killコマンドでぶっ殺しても、すぐに別のIDで甦るのでイタチゴッコ状態。

なので、これも以下のコマンドで一網打尽に退治。

二度とよその家でウンコするんじゃねぇぞ!

$ ps aux | grep index.php | grep -v grep | awk '{ print "kill -9", $2 }'

どうやら、これらのウンコプロセスが、各地に大量のウンコをまき散らしていたみたいなので、上記作業を実施するまでのわずかな時間で、各地に子ウンコが生まれていた模様(もう呆れるよ・・・)

なので、もう一度、全フォルダをサーチして怪しいウンコを拭きとって、作業終了です。

ブログの異常に気が付いたのが23時ごろで、ここまで手作業で対処できたのが3時。

猛烈な徒労感と、とりあえず、皆殺しにできた安堵感で眠りに・・・。

まだ、寝てはいけない!

いやいや、寝てはダメ、ゼッタイ!

今までの作業は、侵入者が残していったウンコを処理しただけなので、そもそもウンコされないようにしなくてはいけないです。

眠くてしょうがないのですが、とりあえず、以下のようにトイレに鍵をかけて寝ることにしました。

  • さくらサーバーの契約パスワード変更
  • 当該サーバーのパスワード変更
  • ブログデータベースのパスワード変更
  • ブログ管理WordPressのパスワード変更
  • ブログ内各フォルダのパーミッションを適正化

どれもこれも、寿限無寿限無のように長~~~~いパスワードに変更です。覚えるのが大変だ。

これからのウンコ対策

他にも、WordPressのセキュリティホールをふさぐために、使用中の大量pluginを最新版にアップデートする必要があると思いますが、もう何年もやってないので、かえって失敗して大変なことになりそうなので、これは別途実施予定。

苦節4時間。ようやく通常モードに戻りました!

苦節4時間。ようやく通常モードに戻りました!

一応、フォトポタ日記は定期的にバックアップを取っているので、最悪、どうにもならなくなったら、全部のファイルを消して入れ直すという荒業も残してはあります。

しかし、その作業は気が狂うほど大変なことも予想されますし、今回のような、ゆるいウンコではなく、もっと深刻な被害をもたらす強毒ウンコだった場合も想定しないといけないですね。

普段、セキュリティソフトウェアが何万もの不正アクセスを防いでくれていると思いますが、その有り難さに甘んじることなく、自分でできる対策をちゃんとしておかないといけないですね。

自戒の念を込めて・・・。

にほんブログ村 自転車ブログ ロードバイクへ
 
記事下用336×280
記事下用336×280
  • このエントリーをはてなブックマークに追加

パーツ紹介記事(一覧比較)

おかいもの情報


コメント

  1. 名前:通りすがりのciclista 投稿日:2021/12/21(火) 17:54:07 ID:a138076b8 返信

    ウンコにまみれてますなぁ(笑

    • 名前:Shiro 投稿日:2021/12/21(火) 18:06:39 ID:7d1b6f693 返信

      そう、本当にウンコだらけでした・・・(TT)

      見慣れないフォルダがあり、それをlsコマンド(windowsで言うところのdir)をやると、数千個の見たことのないファイルがずら~

      身の毛がよだつ瞬間でした。大量のうんこが・・・。

  2. 名前:通りすがり 投稿日:2021/12/18(土) 11:47:21 ID:a101f6784 返信

    shiroさん

    いつも楽しくブログ読ませていただいています。

    ウンコ掃除お疲れ様でした。
    クリーンインストールして、WordPressとpluginを最新化するのが理想とは言え、年末大掃除レベルで大変ですもんね_(┐「ε:)_
    もし、まだ未設定でしたら、WAFを有効にするといいかもです。
    さくらのスタンダードプランでも、コントロールパネルから設定できるようです。

    • 名前:Shiro 投稿日:2021/12/18(土) 23:38:21 ID:893a89ff0 返信

      すいません、確認遅れました!

      コメント&ご助言ありがとうございます!m(_ _)m
      さっそく、WAFも有効にしてみました。

      pluginの方は、モノによっては「バージョン上げると有料」とかいう切ないものもあり、どうしようかなぁ、と迷っているものもあります。

      が、セキュリティホールを突かれて全滅するのもなんなので、随時、最新版に切り替えていこうかと思います(年末年始は、この作業ですね)

  3. 名前:_toshi 投稿日:2021/12/16(木) 09:46:40 ID:0b5b95b62 返信

    Shiroさん:

    まずはお疲れ様でした。
    大変な作業だったとは思いますが、こちらは楽しく読ませて頂きました。
    セキュリティ対策は大事ですね。

    私、業務でデータベース(以下DB)を運営しているのですが、ちょうど一昨日にその元締めから「Apache XXXXXの任意のコード実行の脆弱性(CVE-XXXX)に関する注意喚起」と言う連絡が来て調査をしていました。
    結果、私の運営するDBでは使用していない事が分かり安心したところです。

    まさに「ひとんちの物に勝手にさわるんじゃねー」ですね。

    • 名前:Shiro 投稿日:2021/12/18(土) 21:04:56 ID:893a89ff0 返信

      いやぁ、お恥ずかしい限りで・・・。

      脆弱性などのセキュリティ情報もものすご~い数あり、追いきれないですね。
      遊びならまだしも、業務用データベース管理となると、責任重大、大変ですね。

      うんこを作る連中も、もっと役に立つことすればいいのに。技術はあるんでしょうから・・・。

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です