VPSや自社サーバーなどのフルコントロールが可能なサーバー内で複数のドメインのサイトを運営、ホスティング、保守されている企業様の事例で、その中の数十のワードプレスサイトで一気に改ざん被害を受けてしまったクライアント様の事例をご紹介いたします。
この記事の目次
クライアント様の状況
クライアント様は、制作会社様で複数のクライアントのワードプレス製作サイトを、VPS(自社サーバーに近い感じのサーバーです)フルコントロールが可能なサーバーにフォルダ分けして又貸しのホスティング管理のような形で運用、保守されている方でした。
また、サーバー内には自社サービスのサイトも4サイト程運用されており、その自社サービスサイトも含むすべてのフォルダが大量の改ざんファイルで埋め尽くされているような状況となっていました。
改ざんがサーバー内全体に広がってしまった経緯
クライアント様のサーバー内にある大量のサイトすべてに改ざん被害が広がってしまった経緯は下記のようなものでした。
●サーバー会社からある日突然スパムメールを配信しているとの警告を受けます
●こちらのクライアント様は警告にあったファイルを削除し、サーバー会社にそのことを告げます
●上記の警告のたびに、サーバー会社が伝えてくるファイルのみを削除してワードプレスやプラグインの更新をサイト表示が不全となるリスクから特に行わずいたちごっこのような状態となる事数か月がたちます
●サーバー会社が突然、サイトのフォルダのパーミッションを000(どこからもアクセスができない状態)に変えることによりすべてのサイトが表示されなくなります
●この処置はサーバー会社がスパムメールの配信をさらに大量に検出したことによる処置ですが、サーバー会社がスパムメールの配信ファイルの情報や改ざんファイルの情報を送ってくれない(サーバー会社にもわからない)状態です
●クライアント様のもとに、運用している多数の外部企業様からのクレームが届きますが、クライアント様は対処のしようがなくなってしまいました
この時点で弊社にご相談をいただきました。
どうやってハッカーはサーバー内のすべてのフォルダに改ざんファイルを生成したのでしょうか?
ワードプレスはいったん管理者権限の奪取や、脆弱性からの侵入で一つのサイトがハッカーによる改ざんを許してしまう状況になると、サーバー内のファイル構造の取得などが容易となります。URLではなくローカルのフォルダ構造から書き込み権限などを調べることも容易となってしまいます。
特定のドメイン内のフォルダを超えてパーミッションの設定の緩い他のファルダへアクセスし、改ざんファイルを作ることはPHPという高度なサーバー内のファイル変更命令を発行できるプログラムではそれほど難しくないのです。
改ざんが防げなかった理由
こちらのクライアント様が残念ながら改ざん被害を防げなかった理由は下記のようなものとなります。
●ホスティングしているサイトの表示や不具合が起こらないことを優先するあまり、ワードプレスやプラグインのの更新を制作後に全く行っていなかった
●サーバー会社の警告文に含まれているファイルを削除するだけの対応になっていた(多くの場合サーバー会社の提示する感染ファイルはごく一部です)
●フォルダのパーミッションがすべて書き込み可になっていた
●フルコントロールサーバーならではの、セキュリティーの甘い設定があった(フォルダの構造の取得がルートから可能となっていたり、スパムメール配信でよく使われる23番ポートの開放等)
●ワードプレスをアップデートしたり、改ざんファイルを取り除くだけでなく、バックドアの排除もしないと再感染を防ぐことは困難ですがクライアント様はそのことをご存じなかった
ワードプレスドクターによる一括改ざん復旧
ワードプレスドクターでは一日に最大5件ほどのサイトを改ざん復旧可能です。同一サーバー内にある多数のサイトの場合、料金をかなり下げて一括でご対応することも可能ですのでご相談ください!
ワードプレスドクターでのハッキング復旧の作業内容の参考記事はこちらから
スパムメール配信改ざんからの復旧、バックドアの排除