コアサーバーとスターサーバーもウイルスに感染した！

先日、ミックスホストに設置してあったドメインがウイルスに感染したことは記事にしました。

これログ

ミックスホストmixhostの評判は最悪!サーバーにウイルスが！index.bak.phpとは？

http://www.netlutions.net/mixhost/

このブログは、かつてミックスホストサーバーで運営していました。しかしながら、現在では別のサーバーで運営しています。理由はミックスホストサーバーが非常に使いにくかったからです。まず当初の説明ではcmsはムーバブルタイプ（MT)もワードプレスも使えますとい...

それで、感染したドメインをコアサーバーに移管しました。

スターサーバーには感染したドメインを設置していませんが、感染したドメインからリンクは送っていました。

それで、何気にアクセス解析を見ていると中東の某国からのアクセスがありました。

ＩＴ先進国と言われる、あの国です。

何となくイヤな予感がしました。

ＦＦＴＰでサーバーにアクセスします。

スターサーバー

スターサーバーに設置したワードプレスのファイルの中にhtaccessから始まるファイルが２つあります。

.htaccess.replyというものです。

これはスターサーバーに入れられていました。

種類のところに bak とあります。

index.bak.phpを思い出しました。

手動で削除します。

「ewww」なんて見慣れないフォルダもあるので削除しました。

しかし、これは後で調べてみると「EWWW Image Optimizer」という画像関係のプラグインであることが判明しました。

自分でもインストールしたことを忘れていたようです。

プラグインフォルダの中にないので、勘違いをしたようです。

index.php

ワードプレスを導入するサーバーのいろんな所に、index.phpという拡張子があります。

間違って、そのひとつを削除してしまいそうになりました。

記述は下記のようなものです。

これを削除するとサーバーの中身が丸裸になるそうです。

危ないところでした。

コアサーバー

問題はコアサーバーです。

数字とアルファベットを組み合わせたphpがワードプレスの中にあります。

ミックホストのときと同じです。

Ｉ師匠に相談すると、パスの設定は「N7vU5YMdsnd9##」のようなランダムなものにしなければならないということでした。

良く考えてみるとドメインを移管しても、ワードプレスのＩＤ、パスの設定は同じもの使っていました。しかも上記のような複雑なものではありません。

さらに言うとスターサーバーのワードプレスも全てＩＤ，パスは同じものを使っていました。

脇が甘いと思います。

ワードプレスを入れていないサイトにも、同じようなファイルが置かれていました。

というわけで、パスワードは全部変更したのですが、、、

下記に運営側の返答を記載しておきます。

スターサーバーの返答

平素はネットオウルをご利用くださいまして誠にありがとうございます。
ネットオウル カスタマーサポート ＸＸと申します。

ネットオウルID：ＸＸＸＸＸ
サーバーID：ＸＸＸＸＸ
お問合せ番号　　:　ＸＸＸＸＸ

お問い合わせいただき、ありがとうございます。

恐れながら不正アクセスの可能性が考えられる場合において
ご記載のURLへアクセスし状況を確認することはかないません。

不審なファイルが設置されていたとのことでございますが、
設置先やファイル名の一例を文面にてお知らせいただくことは
可能でしょうか。

また、お客様にお心当たりのないWebサイトへと転送される、
あるいは不正なファイルが大量にアップロードされている場合、
サーバーが不正アクセスの被害に遭われている可能性が高くございます。

そのため、不正アクセスの疑いがあるか、
当サポートにて調査を進めてまいりたく存じます。

調査の結果不正アクセスの疑いがある場合は、
緊急的な措置として、WEBサイトへのアクセスを制限する運びとなります。

ご同意いただけます場合は、
そのようにご返信くださいますようお願いいたします。

何かご不明な点がございましたら、お気軽にお問い合わせください。
何卒、よろしくお願い申し上げます。

更に返信が来ました。

お忙しい中ご返信いただき、ありがとうございます。

恐れ入りますが、当サポートではセキュリティの観点より、
添付・外部アップローダーのファイルを確認することがかないません。

差し支えなければ、ご返信いただいた『.htaccess.reply』という
名称のファイルは、サーバー上のどこに設置されていたのかどうかと、
内容についてお知らせくださいますでしょうか。

現段階では不正アクセスと断定することが難しくございますが、
ご希望であれば、サーバー上を調査差し上げることは可能でございます。

ただし、先のご案内の通り制限に至る可能性もございますので、
その点をご了承いただき、お申し出くださいますと幸いでございます。

何かご不明な点がございましたら、お気軽にお問い合わせください。
何卒、よろしくお願い申し上げます。

コアサーバーの返答

ページを書き換えられるという事例の報告は、最近急増しております。

原因と対策としましては、下記の通りとなります。

・運用スクリプト、CGIのセキュリティホールがある
　→PHPBBなど配布されている無料ソフトウェアでも既知の脆弱性が多数ございます。最新版であるか等を確認してください。
　→パーミッションが適切でないなど、設定ミスで誰でもファイルの中身が見られる状態になっている場合もあります。こちらもチェックを行なってみてください。

・共有環境からパスワードが漏れる形でアクセスしてしまっている
　→学校、職場、ネットカフェなど容易に通信が傍受できる環境から、通信を暗号化しない状態で、メール、FTP、もしくは、管理画面へアクセスされますと、途中の経路でパスワードなどが漏れる状態になります。
　→メールであれば、POPS,SMTPS,IMAPS、ウェブメール、管理画面へはSSLサーバー経由でアクセスされますと、通信を暗号化し、盗聴を防ぐことができます。

・ウィルスによりメール等のPC上のファイルが外部に送信されてしまっている
　→ウィルス・セキュリティ対策ソフトウェアで、時間が掛かりますが、「完全な」チェックを行ってみてください。

以上をご確認いただければと存じます。

コアサーバーとスターサーバーの対応の違い

文面を読む限り、スターサーバーの方が、しっかりしているというか厳しい感じがします。

コアサーバーは自己責任でやってくれ、という感じでしょうか？

ひとつ、疑問に思ったのですが、ワードプレスのパーミッションの最適は何でしょうか？

まとめ

このドメインはハッカーの人たちに目を付けられたようです。

もしかしたら、この文章を読んでいるかもしれません。

お願いだからイスラ●ルのハッカーさん、もうやめてください。

私のサイトにスパム攻撃をしても、たいしたゼニにはなりません。

やめなかったら、こっちも、

⇒この本

、に書いてあることを拡散しちゃうぞ。

それで、先述のＩ師匠ですが、あの人です。