マタニティライフをもっとSmartに。子育てライフをもっとSmartに。SmartなFamilyを応援する情報サイト
Keyboard

【エックスサーバー】不正なアクセスの検知および制限の実施への対応【無傷で復活】

ワードプレスで記事を書く・・・。

そんな日常が突然なくなってしまうことがあります。

 

私が経験したのは、契約しているエックスサーバーに対する不正アクセス、それに対応するサーバーの制限実施です。

 

エックスサーバーからは、「【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について」というメールが配信されてきました。

 

ワードプレスの管理画面、ブログサイトにおいて403エラーが表示され、何もできなくなるという状態です。

 

サボちゃん

結論から言うと、この状態からほぼ無傷でブログを復活させることができました!
どのようにブログを復活させたかについて、自分の備忘録と同じ現象が起きてしまった方への参考情報として記録します。どなたかのお役に立てれば幸いです。

 

1/16(土)14時:ワードプレス管理画面で403 Forbiddenエラー

それは突然やってきました。

 

1月17日の夜、いつものように、ブログ記事を書いていました。

 

途中で下書き保存をしようとしたら・・・

 

サボちゃん

???下書き保存ボタンが押せなくなってる!

 

すぐにテキストエディタに切り替え、全てコピーして途中の記事のバックアップを取りました。

 

もう一度ワードプレスの管理画面に行くと、403 Forbiddenの文字が・・・。

 

幸い、同じサーバー上で管理している2つのサイトは無事見れる状態でした。

 

それにしても、早くこの状態を何とかせねば・・・。

色々と調べましたがこれと言って対策が見つかりませんでした。

 

何となく、.htaccessファイルの記述を直せば直りそうな感じがしていたのですが、サーバーパネルの.htaccess編集から編集できない状態になっており、FFFTPを使ってパーミッション値を644に変えた上で編集しても編集した内容が更新されないという現象が起きていました。

 

サボちゃん
これも何かのせいで起こっているのかも・・・。

 

スポンサーリンク

1/17(日)15時:「不正なアクセスの検知および制限の実施」メール受信

この状態で約1日が経過・・・。ここまではブログサイトは閲覧できる状態、アクセスも正常にある状態でした。

 

1月17日15時、ついにブログサイトにアクセスすると403エラーが出るようになってしまいました

 

その直後、エックスサーバーからのメールを受信しました。

 


(メール抜粋)

お客様のサーバーアカウントにおいて、
サーバーに対する負荷が著しく高い状況を確認いたしました。

この度の負荷上昇に際してプロセスの稼働状況を確認しましたところ、
以下の不正なプロセスが稼働しておりました。

▼稼働していた不正なプロセス
——————————————————-
XXXX (ここに不正なプロセスが表示)
——————————————————-

これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。


 

【実施された制限】

ドメイン【XXX.com】【YYY.com】において「WordPressセキュリティ設定」の全機能を有効化
ドメイン【XXX.com】【YYY.com】において「WAF設定」の全機能を有効化
設置されていた不正プログラムファイルについて、パーミッションを「000」へ変更し、機能を無効化

 

【不正プログラムと思われるファイル一覧】

16個のファイル名が記載されていました。

 

サーバーに高負荷が掛かったため、状況確認したら不正アクセスが見つかった。

そのため制限をかけたという内容です。

 

このメールには、対処方法が丁寧に記載されていました。

 

エックスサーバーからのメールに記載されていた対処方法

エックスサーバーからのメールには「お客様に行っていただきたい対応内容について」という記載がありました。

 

同じようにメールを受信された方の記事を見ましたが、この内容は状況によって違うことが書いてあるようです。

 

私の場合は下記を実施するように書かれていました。

 

①PCのセキュリティチェック
②検出されているすべてのファイルの完全削除 または、該当ドメイン名を「初期化」
ケース1■検出されているすべてのファイルの完全削除する (※推奨)ケース2■該当ドメイン名を「初期化」する
③ FTPソフトによるデータアップロードなど、ホームページ再開のための作業を行う
④該当ドメインにて設置されていたプログラムにおいて、脆弱性の調査を行う
⑤設置されているWordPress等の設置プログラムについて管理パスワードを変更する

 

①PCのセキュリティチェック

メールに記載の通り、普段使っているPCのセキュリティチェックを行いました。

特にウイルス等は検知されませんでした。

 

②-1検出されているすべてのファイルの完全削除の前にバックアップ

他の方の記事を読むと、ドメイン名を初期化する方法で解決されている方が多かったですが、私が受信したメールには初期化よりも検出されているファイルを全て削除することが推奨されていました

 

まずは、念のためFileZillaを使ってエックスサーバー上に保存されているファイルのうち、初期化する時に必要な下記2つのファイルのバックアップを取りました。

 

/ドメイン名/public_html/wp-config.phpファイル
/ドメイン名/public_html/wp-content/uploadsフォルダ

 

その上で、エックスサーバーのサーバーパネル⇒アカウント⇒バックアップからバックアップデータを取得しておきました。

 

②-2検出されているすべてのファイルの完全削除

エックスサーバーからのメールに記載されていた【不正プログラムと思われるファイル一覧】のファイルを一つ一つ削除しました。

FFFTPやFileZillaを使えば簡単に削除することができます。

 

この状態で一度エックスサーバーのカスタマーサポートに完全に削除したことを連絡しました。

これが1月17日(日)の22時。

 

1/18(月)エックスサーバーのサポートで復活

エックスサーバーにメールを送った次の日の朝10時ごろ、早速返信を頂きました。

そこには、.htaccessに下記の記述があるため、管理画面にアクセスできなくなっているとのアドバイスが。

————————————–
<FilesMatch “.(py|exe|php)$”>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch “^(about.php|radio.php|index.php|content.php|lock360.php)$”>
Order allow,deny
Allow from all
</FilesMatch>
————————————–

 

これが下記の2つに記載されているのが表示されない原因とのこと。

ドメイン名/public_html/.htaccess

ドメイン名/public_html/wp-admin/.htaccess

 

サボちゃん
やっぱり.htaccessが原因だったんだ!でも編集できなかったんだよね・・。

 

もう一度、FFFTPから削除を試みるも、初日と同じでパーミッション値を644にして編集して記述を消しても、ファイルを閉じて又開くと復活してしまうという現象が起きました。

 

15時頃エックスサーバーにメール連絡。すると17時にエックスサーバーから返信が。

サーバーパネルの.htaccess編集からやってみてくれ、とのこと。

 

その通りに実施するとドメイン名/public_html/.htaccessの方は削除ができている状態になりました

でもドメイン名/public_html/wp-admin/.htaccessの方は、サーバーパネルからは編集ができません。

 

そこでもう一度17時40分にエックスサーバーに連絡。

18時20分に返信受信。ファイルマネージャーからやってみてくれ、とのこと。

 

ファイルマネージャー:https://www.xserver.ne.jp/manual/man_tool_file.php

 

これはインフォパネルの下記サーバーのところにある「ファイル管理」からもアクセスができます。

インフォパネル

 

ここから編集をしたことで、やっと完全に削除することに成功しました!

 

ここまでやって、ワードプレスの管理画面へのアクセス、ブログサイトが一応表示されるようになりました。

 

復活後の対応

復活したものの、まだどこに変なファイルが潜んでいるか分からない状態です。

不正プログラムと思われるファイル一覧で削除してしまったファイルも多数あったため下記の対応を実施しました。

 

■ワードプレスを最新バージョンに更新

■テーマ【THE THOR】を最新バージョンに更新

■プラグインの更新■使っていないプラグインの削除

■使っていないテーマの削除

 

また、エックスサーバーからのメールに記載されていた対処法の③~⑤についても実施しました。

③ FTPソフトによるデータアップロードなど、ホームページ再開のための作業を行う
今回は、16個のファイルを削除しましたが、ワードプレスを最新バージョンに更新することで、必要なファイルは新しく追加されるだろう、と予想し、ワードプレスやテーマ、プラグインを最新にすることでこれを対応したことにしました。
④該当ドメインにて設置されていたプログラムにおいて、脆弱性の調査を行う
これについては具体的に何をすればいいかが分かりませんでした。
こちらもバージョン更新したので基本的には大丈夫かなと思っています。
ただ、別の記事で説明する内容が後で発見されたので、この部分を直したことで④も対応したことにします。
⑤設置されているWordPress等の設置プログラムについて管理パスワードを変更する
管理パスワードは比較的簡単なものにしていたため、セキュリティレベルが高くなるように複雑なパスワードに変更しました。

 

ここまでで、ブログもくずれることなく表示されている状態、すべての記事やデータが揃っている状態、管理画面にもアクセスできる状態で完全に復活させることができました!

 

ただこの後、ワードプレスの記事編集画面、ビジュアルエディタで不具合を見つけることになります。

 

これについては別記事で詳細を説明します。

 

関連記事

ワードプレスの記事編集・ビジュアルエディタの表示がおかしくなる現象が起きてしまいました。 具体的には、H2タグ、吹き出し、マーカーなどを挿入しても、ビジュアルエディタ上ではただのテキストでしか表示されず、どこをどう[…]

 

今回の不正アクセス、403エラーの原因、気づいたこと

今回の不正アクセスが起きてしまった原因は、おそらくワードプレスのバージョン更新を長い間していなかったことではないかと思います。

 

現時点での最新バージョンはWordpress5.6ですが、私たちは意図的に5.2で更新を止めていました。

 

以前バージョンアップした際に、バグなどで非常に使いにくくなり苦労した経験があったため、使い慣れたバージョンで止めておきたかったためです。

 

やはり定期的にバージョンを更新していくことはセキュリティを高める上では必須だと痛感しました。

 

また、これまでブログ歴は2年半でしたが、サーバー周りの設定については正直ほとんど素人でよく理解できていませんでした。

この一件のおかげでセキュリティに対する意識が高まり、サーバー周り、ワードプレスファイルの知識が少しつきました。

 

何より良かったと思ったのが、エックスサーバーを使っていたことです。

 

上述の通り、不正アクセスに対する制限を行ってくれ、それに対する対応法も丁寧に教えてくれました。

 

一番感動したのは、カスタマーサービスのサービスの良さです。

 

サボちゃん

メールは非常に丁寧で何よりレスポンスが早いのが一番良かったです。

焦っている状況で素早く回答をくれるのが本当に心強かったです。

 

エックスサーバーは使っている人も多いので、こういったトラブル時の情報もネット上にたくさんあることも心強いです。

 

このブログで利用しているブログ関連サービス

 

スポンサーリンク