先日も書いたとおり、このウェブサイトが5月23日あたりから強制的に海外の一般的なウェブサイトを経由したのちにまた強制的に広告に飛ばされるという悪質なリダイレクトスパムの踏み台にされてしまいました。その間見にきてくださった方にはご迷惑をお掛けしました。まことに申し訳ございませんでした。後述しますが、原因となったプラグインは当事務所のお客様のwordpress には使用しておらず、実験的にこのサイトで利用していたので原理的に今回のハッキングの被害は出ないことになりますし、無事を確認しております。ご安心ください。ただし他のハッキングに対しては引き続き警戒が必要です。
不正アクセスとマルウェアを仕込む行為って戦略爆撃とか破壊活動みたいでじわじわ精神をやられます
この一週間、日によっては翌日に仕事があっても徹夜で原因究明を図っていたのですが、国内にはまだそれらしい情報もなく、FTPで一個一個プラグインやPHPファイルを探っていった上で不審なファイルを探し出しました。そして海外のウェブサイトでようやくその不審なファイルが原因の乗っ取り行為だということが判明しましたのでお知らせします。
急ぎの英語が堪能なクレバーな方は下記リンクからどうぞ
英語が得意な方、翻訳で十分な方はこちらをお読みになると一発で解決します。
jetpackというセキュリティ機能つきプラグインを経由してバックドアを仕掛けられた!セキュリティプラグインが踏み台にされるとは!
最近、時々jetpackからサイトが動作を停止しましたというメールが来て、15分後くらいに復帰しました、というメールが来ていました。最初は、なんかサーバが不安定なこともあるのかな、くらいに軽く考えておりましたが、後から思えばこれがまさにハッキングされる瞬間だったんです。その15分の間に、悪意のあるファイルがアップされ、トップページのヘッダー部分にリダイレクトを指示する悪質なコードを埋め込まれたというわけです。
jetpackといえば、wordpress のセキュリティや管理などオールインワンと言ってもいいほどの海外で人気ある大型プラグインの一つです。実際に不正ログインをブロックしたり、それこそサイトの動作が止まったらメールで知らせてくれたりもするわけです。なので、最初はパスワード総当たりとか、テーマに地雷を埋め込まれてたか、などと考えました。それで、FTPパスワードの変更、ログイン認証方法の変更、ひらがな画像の入力必須、ログインするたびに通知メールが来る、海外からのログインは全ブロック、不当に編集された部分をサーチするツールで該当部分を除去、などの対策をしました。それが前の記事ですね。しかしまた乗っ取りにあいました。
それで色々ググってみるわけですが、同じ症状の解決法をまとめたものが見つからない。一般的な乗っ取り対策の手順は色々見つかるのですが、一つ気になったのは、wordpress の管理画面からは不可視になっているプラグインやテーマを疑え、という話。あ、多分これだ!となり、早速FTPで調べてみると、やっぱりありました。なんちゃらmonsterというプラグインフォルダです。管理画面からは見えませんがFTPだとバッチリ観測できます。
このプラグインをネット検索しても海外のサイトやフォーラムしか出て来てなかったので、パラパラ読んで行く。すると、驚くべきことにjetpack経由で不正アクセスする手口でこのプラグインを置いていくのだということが判明。
私がとった対応策:jetpackを削除、生成された悪質なプラグインの削除、wordfenceで検出された不当な差分の修正
ということで、踏み台にされるプラグインをわざわざ放置するわけにいかないので削除。怪しいフォルダおよびデータファイルの削除、全ファイルのマルウェア検索を行い抽出された部分の修正、削除。この作業自体は15分くらいで終わります。
あとは、ログインパスワードなど一通り変更し、しばらく様子を見ます。
jetpackを踏み台にするというのは盲点でしたが、そこから先の仕込みが割と古典的といえば古典的。もしかしたらもっと深いところに地雷が埋められたのかもと思うと不安ですが、引き続き対応して行きます。
