「うちのウェブサイトが開きません」と連絡があったのは、金曜日の18時過ぎ。慌てて自社サイトを見ると、確かにアクセスできない。メールにはレンタルサーバー会社からのメール。「不正アクセスがあったようなので停止します」うんぬんと。しかし、すでに18時を過ぎてサーバー会社とは連絡がとれず。当然、ウェブ製作をお願いした会社もお盆休み。それでも、ウェブ上ではクリティカルな情報は一切載せていないし、メールを含む業務系は一切切り離しているし、そもそも会社案内の電子版程度のサイトだし、週末は予定があったので、とりあえず2日ほど放置してしまった。
月曜日に改めて調査を始めた。私の知識は「カッコウはコンピュータに卵を産む」あたりしかないので、改めて手をつけるにもウェブで調べながらいろいろやってみた。
- 作者: クリフォードストール,Clifford Stoll,池央耿
- 出版社/メーカー: 草思社
- 発売日: 2017/12/06
- メディア: 文庫
- この商品を含むブログ (1件) を見る
- 作者: クリフォードストール,Clifford Stoll,池央耿
- 出版社/メーカー: 草思社
- 発売日: 2017/12/06
- メディア: 文庫
- この商品を含むブログ (1件) を見る
FTPのプログラムすら入れてなくてあわてて探す始末。
ログを調べてみると、どうもPHP関連でいじられた模様。a.php、sehlsos.phpというファイルが明らかに不正に作成されていた。FTPはIP接続制限しているので、そんな簡単には入られないはず。不思議でならない。とりあえず、あやしげなファイルをいくつか削除して連休明けで開いたレンタルサーバー会社に問い合わせをした。しかし、「全数をチェックしないとだめ」とつれない返事。
全数調査は元のウェブ構成ファイルがないとDIFF等で比較できない。製作会社とは連絡がとれないままなので、とにかくできることを始めた。なにせ素人なので、ウェブで調べながら右往左往。いろいろいじっているうち、MacでちゃんとFTPの口からVolumesにマウントできることを知り、シェルでいじれることを「発見」した。さらに、findコマンドを発見。ルートで"find html -mtime -14"して、この二週間で更新されたファイルを一覧してみた。すると、どうもWordpress用のPHPのデータをいろいろいじられたらしい跡がでてきた。しかし、なぜかそれらのファイルがFTPアプリからも、シェルからも削除できない。PHPに詳しい人にぜひ教えて欲しいのだが、PHPのデータベースで作られたファイルだから削除、変更できないのだろうか?
途方に暮れて再度レンタルサーバー会社に状況をメールした上で電話すると、「お客様、バックアップを元に戻す方法をご存じですか?」と。早く言ってよ!!!言われた通り明らかに不正アクセスのないバックアップデータから再現して、確認してもらってウェブの公開を再開してもらった。
まだ根本的な対策が取れているわけではないが、かなり勉強になった。ミッションクリティカルなサイトも別に管理に関わっているので、そちらを含めてウェブの安全対策はよくよくチェックしておきたい。
