はじめに
不遇期がようやく終わったさそり座のゆきこです。笑
この10年ずっとレンタルサーバーを借りてWebサイトを運営してきました。
この度初めて不正アクセスの被害に遭いました。
事件は、突然やってきます。
この記事では、実際にサイトが侵害された経験から、発覚から完全復旧、
そして再発防止までのプロセスを時系列で記録します。
同じような被害に遭われた方、または予防したい方の参考になれば幸いです。
※より詳細な復旧マニュアルをnoteで販売しています(300円)。
note@nice_smily
事態の発覚と最初の異変
異変に気づいたのは、サイト表示できなくなったことでした。
気づいたサイン:
・レンタルサーバーのファイルマネージャー内のフォルダに鍵がついている
・WordPress管理画面にログインできない
確認したところ、すでに複数の不正なファイルが設置され、サイトが改ざんされていました。
被害の実態
確認された被害内容:
・PHPバックドアの設置
・既存ファイルへの悪意あるコードの注入
・データベースへの不正なレコード追加
・アカウントの不正な追加
・サイトからのスパムメール送信
初動対応【発覚後6時間】
1. サイトの緊急停止
まず被害拡大を防ぐため、サイトを一時的に閉鎖しました。
実施した措置
・レンタルサーバーに連絡して調査を実施
・不正ファイルの削除(この数なんと1万個以上ありました)
・Apacheの停止とデータベースの状況確認
・メンテナンスモードの有効化
・必要なサイトのサーバーへのアクセス制限
・訪問者への簡潔な説明ページの表示(SNSでお知ら発信)
2. 証拠の保全
記録した情報:
・レンタルサーバーからもらった調査ファイル(エラーログや改ざんされたファイルのリスト)
・データベースのバックアップ(現状のもの)
・FTPログイン履歴
3. 全パスワードの変更
・サーバーのパスワード
・WordPressサイトのパスワード(CMS管理画面のパスワード(全ユーザー))
・サーバー管理画面のパスワード
・データベースのパスワード
・メールアカウントのパスワード
ポイント: 侵害されていない別のデバイスから変更作業を実施すると安心
4. 関係各所への連絡
連絡した先:
・IPA(情報処理推進機構)
・サーバー会社(状況報告と支援要請)
・サイト利用者や取引先(サイト停止の報告)
・警察(被害届の提出検討)
原因究明【1〜3日目】
侵入経路の特定
ログ解析とファイル調査の結果、以下が原因と判明しました。
主な侵入経路
古いプラグインの脆弱性 – 更新していなかったWordPressプラグインが標的になった可能性が高い
弱いFTPパスワード – ログインで手間取らないようにと、推測されやすいパスワードを使用していたのが、結果的に最悪な辞退を引き起こしてしまった
管理画面のIP制限なし – 誰でもアクセス可能な状態(IPアドレスのブロックをしていない状態)
攻撃の流れ(推測内容)
・脆弱性を突いてシェルをアップロード
・バックドアを複数箇所に設置
・管理者権限を取得
・データベースを改ざん
・スパム配信基盤として利用
・タイムライン分析
コメント