ヘテムルのドメイン73サイトが全てハッキングされた時の対応とツイッターで助けられた話し
※注意 ヘテムルサーバーのdis記事ではないです
こんにちは kumasukeです。普段記事とか書かないので文章力などご容赦下さいm(__)m 普段書かない僕がこうやってハテナでブログを立ち上げたのは理由があります。伝えたい事があります!
ハッキングなんて無縁と思ってた自分に降り注いた悪魔!
これはツイッターなしで解決など本当にありえませんでした 汗
助けてもらってなければ、多分まだ一ミリも進んでなくて恐ろしい金額でセキュリティ関連の会社にお金支払ってると思います!
ツイーターやってて良かったなと。あと助けて頂いたあの方や、心配&応援メッセくれた人に届けばそれで本当に嬉しいです!
助けて頂いた方はアカウントバレが困るのNGですが、ブログ書くのは許可頂きました。本当にありがとうございます。
長いですので注意です!あと画像が小さいパターンやコピってきたりでフォントがグチャってますがご了承下さい 酒のつまみにでもー
まずは簡単に自己紹介
家族でアフィリやって4年目程度です!本当にどうしようもない時期があってアフィリしか僕にはない!!という意味でアイコンは太陽【情熱が灼熱のように燃えてる感じ】でアフィリ&ツイッターはじめました!
ひたすら情報を追いかけて、やっと法人化に至ったのが今です。今はその情熱をキープする難しさに気づき太陽はさよならして、アイコンは犬になりました。
スキルデータ【このレベルですのでハッキング対応とか意味不明】
⇒記事書かない
⇒CSSわからない
⇒ほぼWPかシリウスでデフォかフォーラム質問
あとこのレベルなので分かる人が見てもあんまり役立つ記事ではなさそうです。
1気づき
朝起きてその日はアクセス解析の日です!でバストアップジャンルメイン一個目に
アクセスが0!
GRCは既にチェック済み!おかしい!夜中にまわしてその間に飛んだ?
とりあえずサイトみてみた!
リダイレクされている!!
海外ロシア系サイトなど様々です【複数あり】
2確認
えっやばい!ハッキング??とりあえずメインサイト全部確認!
そこからツイッターで絡んで頂いてる方にDMで確認!
ご返信頂いた内容は以下です。【ありがとうございますm(__)m】
なるほど。。。。
そういえば以前ロリポップでなんかWP改竄で騒がれてたよな?
その時、ロリポでWP使ってなかった僕は、自分は関係ナシと流していて最終的な結果は知りませんでした。。。。
でサーバー確認! リダイレクされてるサイトは全てヘテムル! ヘテムル?
ロリポ=ヘテムル このヘテムルがーーーー!!
でテンパッて何も確認せずツイッターへ投稿。。。
【重要】
実はパシさんの記事がロリポップ ハッキングとかで後からでてきたのですが、
やはり僕がWPの更新を怠っていただけのようですね!
【参考】
WordPressサイトでハッキングを受けているサイトが多いようです | WP SEOブログ
つまりは僕のミスで、はやとちりでして、ここら辺は申し訳ありませんでした。
3 ツイッターからの反応
様々な方が返信やリツートをして下さいました!
どんな形であれ心配したり、返信くれた方、本当にありがとうございます。
※もし掲載されたくない方はご連絡頂ければ早急に削除します
4 対応と奇跡のDM
とりあえず自分でやってみようとヘテムルにDMを送ったり色々ググッていたらいきなりツイッターであまり絡みはなかったのですが、急にAさんからDMが飛んできました!
Aさんとします。仕事上アカウント公開はNGらしく、お礼も受け取ってもらえませんでしたm(__)m
公開できませんが、過去の実績を教えて頂きそれを信頼することにしました!
これは!??ちょっと頼るしかない。。。ググっても全然知識ないので情報もでてこない状況でした。。
実際FTP行くと全てのサイトの.htaccessに302リダイレクト書き込まれてました!
でもわからないのがサイトをFTPから全削除で空にしてもまだリダイレクトされているので、素人の僕には全然想像がつきませんでした!!
こういう感じです。。。。
そこで質問してみると、、、、、
なるほどー!!そして以下の事をおしゃって下さったのでパスワードを一旦渡して見てもらう事になりました!
【Aさん】
サーバにログインして、find とか grep とか使って、リダイレクト先が設定されているファイルを探した方が早いかもしれません。
findとgrepはコマンドで検索と置換みたいな感じらしいです!
この時点で対応もはやくめちゃ優しいんです 泣
そうか!だから全消しでも直らなかったのか!!
つまり全てのサイトの.htaccess&ヘテムルでDNS設定する時の
【Aさん】
WP の脆弱性つかって改竄されたパターンっぽいですね。
一応、78ドメインかな?の直下にある .htaccess に Redirect temp ないところまでは確認しておきました。 あと、web の下に _htaccess っていう名前で .htaccess 残しておきました。 WP の脆弱性つかって改竄されたパターンっぽいですね。
【Aさん】
find っていうコマンドで ファイルのリストを作って、それに対して grep っていうコマンドで当該文字列がないか確認しました。
UN*X系コマンドって一発でいろいろできるので便利なんですよ(^^;
数分でいきなり全部やってくれました!!ビックリで感動しました!
家族全員で平謝り&感謝!
【Aさん】
世界中にいる bot がですね、wordpress の version check しつづけてるんですよ。 で、脆弱性のあるバージョンの奴をみつけたら、自動的に攻撃して redirct させて、そこで malware ばらまくという一連の流れが完成されてます(^^;
今回は htaccess ファイル置かれてるので、サーバ上のWPのサイトは作りなおした方がいいですね。 あと、時間かせぎじゃないですが、 web フォルダの直下に 海外のIPを弾くファイルを作っておくといいです。 #これ、やっとけばよかったですね。すいません。
海外からのアクセスを制限する方法 | ヘテムルブログ 【参考】
5 再ハッキングと奮闘
再ハッキングされました!!
えっっと言い訳するとここまでずっとパソコンの前にいて、もう知らない事だらけで、お腹もペコペコで疲れすぎてて、少しご飯食べにいきました。。。。
Aさん すいません。。。すいません。。。滝汗
ただのバカです!
【Aさん】
多分、同じ方法でやられてますね
とりあえず、.htaccess を海外IPはじくやつに設定して、書き込み権限なくしておきました。
一旦、別フォルダに移動してアクセスできないようにさせます。
14個ほど既に仕込まれてるのがありました。ちょっと暫定対応します。
いや、他にもあるのか(汗
まだまだ続きます!!【僕】
これ全部あやしいですね。とりあえず php を php_ に rename しときます。
サーバの中にある uiplugin.php のファイルを探して、timestamp 確認しました そして、●●ドメイン の中とか確認すると、既に 5uyoulb91 などというフォルダができてて、改竄準備に入ってるみたいです。
さっき貼ったリストですね < 38ドメイン 今、1個ずつ確認してます。 まずそうなの確認できたら退避させてもいいですか?
【Aさん】
はい、そうです。 消すと色々大変だと思うので、一旦避難させるだけです。
とりあえず、mv してるだけなのでファイルのタイムスタンプはかわってません。
あ、FTPクライアントで表示されるファイルの時刻のことです
3/17日の00時あたりから一斉にやられてるようなので、それ以降に生成されているフォルダ、ファイルなどを確認して、不要なものは消していってください。
静的サイトは、さくっとサーバ移転した方がいいです。 WPサイトは、一度動かした後バックアップとって、サーバ移転の方が安全ですね。 改竄データのゴミが残ってる可能性ありますので。
この時点で、とりあえずやる事は一つ決まりました!
静的サイトのシリウスを別サーバーに移転!
生成先にある元ネタを上げれば良いだけなので まあ楽でした!
【Aさん】
ただ、DBやられてると戻してもページ表示できないんですよね……
あ、.htaccess って basic 認証ができるんです
WPって、カテゴリとか redirect するじゃないですか。 あれが、例の ru ドメインへの転送用ファイルに書きかえられてるので、 アーカイブとかへのアクセスができなくなってました。
一旦、basic 認証つきで全部戻しました。
ただ、WP移転は一般的な話なので、他にhelpしてもらった方が対応はやいかもです。
ヤバそうなファイルの判別だけなるはやで頑張りましょう(^^;
_del フォルダつくって、その中にまずそうなファイルを移動させてます。
【僕】
こういうのが永遠続く感じでついてくのにやっとでしたが
結局応急処置を全部やってくれました!マジでハンパないです。。。
とりあえずbasic 認証かけて海外IP弾いて _del フォルダにやばそうなファイル全部移してって感じで対応が終わりました。で静的サイトにも変なフォルダがあったりなかったりするので、こういうのをコマンドで探して一括で処理してくれたみたいですm(__)m
結局は一旦ヤバそうなファイルを別フォルダへ移して トライアンドエラーでWPサイトが動くかどうか確認しながら、ちゃんと動くようならフォルダ削除して移転という感じでした!静的はもう元フォルダ【シリウスなら生成先フォルダ】をあっさり移転でOKなようですが!
【僕】
なぜフォルダを作ったら退避になるのか 分かんないですm(__)m
【Aさん】
アクセスできない場所に移動させてるだけです
だそうです!
6 次の日と作業と行動
次の日は全員で まずWPのメイン&全サテライト更新&プラグイン追加
Advanced Automatic Updatesというプラグインで自動更新させます。
プラグインの更新を怠ると侵入されるので必ずプラグインも自動更新させます!
WordPress セキュリティ対策|コア、テーマ、プラグインを自動更新させるプラグイン|Advanced Automatic Updates【参考】
静的サイトを別サーバーにガンガン移転!
Aさんも引き続きサポートしてくれています。
WAFのログみてみました。多分、このサイトがやられて一気に感染したっぽいですね。まだ狙ってるっぽいので、このサイトに関しては認証はずさずに再構築した方がいいかもしれません。 〇〇ドメイン
あ、そうそう。WP新規構築する前に見ておいてほしい記事が2つあります。 http://www.atmarkit.co.jp/ait/articles/1603/04/news029.html https://japan.norton.com/wordpress-security-5287 上のは、@ITの企画で根岸さんと辻さんが15分程度しゃべってるんですけど、WPがやられるってのはどういうことかの概要がわかります。 下のは、基本的なWPのセキュリティ対策です。
上記のようなアドバイスもくれたりしました!
またファイルジラで全サイトバックアップを取得したのですが、ハッキングフォルダが原因なのかファイルが多すぎなのか転送ミスが起こり全てバックアップできません。。。。
と相談すると またコマンドで一括zipでバックアップフォローもしてもらいました 泣
【Aさん】
3連休じゃなかったら対応できなかったと思うのでよかったですw 明日からまた頑張っていきましょう:)
(´・ω・`) Aさんの三連休ほとんど潰してしまいました!!
もうなんて言えばいいのかわかりませんでした。。。
7 三連休が明けた
三連休があけるとヘテムルから対応&返信がありました!!
そこでそのヘテムルさんの対応内容をAさんに相談したとこと、
これ、確実です。
以前、新規に構築しないと改竄ファイルが残る可能性が高いって書いてたのが、 今回ヘテムルさんが書いてる内容です。
どうやらヘテムルさんが対応してくれたようです。
なので僕のこれからやることを丁寧にお聞きすると
【僕の作業】
1 移転するドメインと移転先を決める 2 移転決まったdelフォルダをFTPにて削除 3 WPの動作確認 4ここの時点で外注様にドメイン指定で振る 5移転後にBasic認証解除
3の動作確認とはWP内にログインして記事が見れるのかどうか?プラグインの追加削除機能が正しく動くのか?
だそうです。
と僕のWP作業も決まりなんとかなりました!
チェックしていくとサテライトに投稿した覚えのない英語記事【下の写真】とかあったりします。
一度 ハッキングされるともうフォルダ以下に様々な事を仕込まれます。。。
なんじゃこりゃ。。。
とかシリウスにphpがあったり、blogって作ったことないフォルダがあったり様々です。。。。
8 感謝とまとめ
Aさんには本当にお礼がしたく何度かAmazonのお気に入りリストでも何でも良いのでお礼させて下さいと何度もお願いしたのですが、受けてもらえませんでした。
本格的にアフィリエイトをはじめてわからない事があれば聞かせて頂くのと、一緒に飲みにいきましょう!!と言って下さいました!
家族全員でぜひ!!と言いましたが、やはりその時にでもお礼できたらなと思っていますm(__)m
あとツイッターで色々アドバイスくれた方もありがとうございました!感謝です。
最後まで読んで頂きありがとうございます。
全然まとまってなくて意味不明だったと思いますが、自分でブログが書けて良かったです。普段書いてる人マジ凄いなー!!
自分が思ったこと箇条書きまとめ
⇒WPは常に最新に
⇒緊急トラブルの時にお腹へったとかそんなんじゃない
⇒やられた時はすぐサイトを閉鎖する
⇒ツイッターには凄い人がいる
⇒書くの嫌いなのにブログ書くことを決意したのはやはり 人だなーーっと思いました
もしよければ こういう説明意味不明だった!
ここはこの流れで説明した方が良いなど ご意見頂けたら嬉しいです。
ありがとうございました!