とあるサイトがハッキングされてしまった件

(残念ながら)タイムリー(?)なことにウイルス騒ぎで世の中の動きが止まってきたあたりから、同じようにサーバー内のウイルス(みたいな物、実際はマルウェア)騒ぎで、動きが止まってしまっていたことがあったのでちょっと書いてみました。

何があったのかというと、お客さんのWordpressで作られたサイトがいたずらを仕掛けられたのです。
特定のページにマルウェアやBackdoorが仕掛けられていたようです。

これが発覚したのはお客さんのGoogleへの広告出稿がNGとなったことがきっかけでした。

広告がNGとなる前に同じようにハッキングをされ、その対処をしました。クリーニングをして、穴を塞いでとしたのですが、
失敗したのは古くなった廃サイトのデータやプログラムをそのまま残してしまっていたのです。(ドメインがまだ利用されているとは思わなかった)
最初の対処をしてから二週間後くらいでやられていました。クリーニングをしたにもかかわらず、翌々週に再度やられたのです。
(クリーニングのみで防御の設定などを仕掛けなかったために、おんなじ攻撃で突破されたのではないかと思っています)

攻撃を受けるとGoogle検索にないはずにコンテンツが多数登録されてしまいます。このお客さんも検索結果のうちの半分以上はそんな存在しないはずのコンテンツ(一体何語?という感じのものです)

よくよくチェックすると.phpの先頭の行に余計なコードが追記されています。

ご丁寧に、 /wp-content/uploads/xxxx.ico という具合にノーチェックになりやすいファイルの拡張子がついています。
PlainなHTMLの置き場所では、わざわざ、index.phpが作られ、先頭に、余計なコードのインクルードとそのあとで、オリジナルのファイルを読み込む( index.html.bak.bakとリネームして)という手を使っていました。

よくもまぁ考えるわ。という印象です。

で、感心している場合ではないのでクリーニング開始

 

  1. Wordfenceプラグインを導入し、Scan実施

    こいつが優れもので、オリジナルのコードとサーバー上のコードを比較して、怪しい箇所を検知してくれます。
    書き換えられてやばいファイルはこれであらかたチェックし終えました。ただ、こちらがテーマなどに手を入れた箇所も怪しいマークがつくので、充分注意して修正していください。

  2. WordPress外のファイルはgrepしてその上で、手動で検索

    タイムスタンプも元のものをそのまま保持するような仕掛けを使っているらしく、当てになりませんでした。

  3. uploads配下はWordfenceでも検知できない箇所があったので、そこは手動で確認しました。

でこれでサイトは綺麗になりました。
が、いつもは困ったときのGoogle先生が、この時は困ったGoogleちゃんに変わります。
Googleちゃんはちょっと前に見つけた宝物はどんなに変なものでもとっておいちゃうのです。
それは「ばっちいから捨てなさい」とサーチコンソールで伝えてもなかなか捨ててくれません。

根気強く、再インデックスの依頼とコンテンツ削除依頼を行いました。(余計なページを一つひとつURLを拾っての削除申請と、Wildcard的な申請の両方をやってみました)
申請後キャッシュが削除されたと報告は上がります、でもsite:wwww.xxx.jpとかやると検索にはひっかかりやがります。

しょうが無いので、広告再申請をしました、けどGoogleこまったちゃんは不正なページとして却下しやがります。
最後の最後の泣き付きで、「サイト綺麗になっていて片付けるものももう無いんだけど、まだだめであれば、ダメなURLをなんとか教えてください」と問い合わせ窓口に泣き付きました。(そうなんです、Googleこまったちゃんは却下した時に理由は言いますが、実際どこが悪いという話はしてくれないのです)

で数日後、大丈夫だったよーーん、というお返事をGoogle先生からいただき、なんとか解決。

ここまでかかった期間は1.5ヶ月。(まさにタイムリーなウィルス騒ぎで、広告自粛という状態でした。)

 

 

 

教訓:クリーニングを請け負うのであれば、再度の防御までを必ずやらせてもらう。やることを前提とすること。

(諸々の関係で、その時には再発防止はすぐにはやらないという選択がなされていました。ここが後悔、意地でもやるべきであった)

PS: WordfenceとかWAFとか楽しいです。ログを見ていると結構色々な攻撃がされていることが確認できます。IPAさんの基準(安全なサイトの作り方)が指針としてあるのをありがたいなぁと思うようになりました。(まとめている皆さん、お疲れ様です & ありがとうごいます)

関連記事

  1. 現場とともに走るPM :鮫島からのご挨拶

  2. 禁滅 商品写真

    菌滅の販売を始めました

  3. ICOにまつわる法律や税金関連について

  4. ブロックチェーン(というより仮想通貨)のセキュリティ

  5. ブロックチェーン法的観点からのセミナー

スタッフ別記事

  1. 2020.05.08

    とあるサイトがハッキングされてしまった件

  2. 禁滅 商品写真

    2020.04.20

    菌滅の販売を始めました

  3. 2019.06.14

    AI/PDF

  4. 2018.09.11

    高知e商人合宿に登壇させていただきました

  5. 2018.07.19

    神戸Xdセミナー終了しました

  6. 2018.06.15

    神戸でXdセミナーやります

  7. 2018.06.08

    Xd講座での気づき:実装準備のためのXd

  8. 2018.06.05

    AiとPsとFwとXd

  9. 2018.05.30

    6月もセミナーを実施します

  10. 2018.04.06

    顧客把握と情報設計セミナー終了しました!

  1. 2018.09.11

    高知e商人合宿に登壇させていただきました

  2. 2018.07.19

    神戸Xdセミナー終了しました

  3. 2018.06.15

    神戸でXdセミナーやります

  4. 2018.03.28

    セミナー教育事業に取り組みます

  5. 2018.02.03

    ブロックチェーン(というより仮想通貨)のセキュリティ

  6. 2018.02.01

    勉強会の準備整っています

  7. 2018.01.31

    どうやってペルソナを作るのか

  8. 2018.01.29

    森川の人日単価について

  9. 2018.01.28

    ホームページ作るのは幾らかかりますか?

  10. 2018.01.18

    そのサイトは誰が見るのでしょうか?

過去の記事

2020年5月
 123
45678910
11121314151617
18192021222324
25262728293031