Webサイトが乗っ取りに遭ってしまいました。
いくつかのサイトを運営というか所有しているピーマンですが、そのうちの一つのサイトがいつの間にか乗っ取られていました。
運営と言ってもかなり前に作成してほぼ放置状態だったサイトなのでなるべくしてなったという所なのかもしれませんが驚きました。
バリュードメインからの警告メール
いつものように何気なくメールチェックをしていたら見慣れないメールが目にとまりました。
ドメインの管理はバリュードメイン、サーバーはコアサーバーで行っているのでたま〜にお知らせメールとかは来ていたのですが今回は様子が違っています。警告のメールでした。
自らの運営サイトの一つが「暗号資産関連の詐欺サイト」に書き換えられて世界中にメイワクをまき散らしているから早急に対処してくれとのことらしい。やらなきゃアカウントそのものを凍結するぞとのことなのでこれは放っとく訳にはいきません。
Webサイト乗っ取りでどうなっていたのか?
慌てて該当Webサイトを確認してみると、トップページへアクセスしても真っ白なページが表示され管理者としてログインも出来ない状態でした。ログイン画面すら出てこないんだから困ったものです。
正直なところ驚きました。
運営中のサイトを乗っ取られたなど話には聞いて知っていましたが、まさか自分の身に降りかかってくるとは思いませんでした。
2週間ほど前にチェックした時は今までと同じようにきちんと動いていたんですけど、いつやられたんだろ??
ちなみに下のような英語のサイトが表示されるように改ざんされていたようです。
(実際には同じような内容がダラダラっと下へ続いています)
見出し部分「Why every Judge on shark Tank Backed This Product from italy」をDeeple翻訳で日本語にしたところ「シャーク・タンクの審査員がこぞってイタリア製品を支持した理由」との結果で、画像から推測するとダイエット関連の製品かと思えるのですが、これが暗号資産とどう結びつくのか今ひとつ理解不能でした。
ピーマンが頭悪いからか??

英語のサイトに書き換えられていた
該当サイトを削除で対処
乗っ取りにあった該当のサイトはよくある「ほぼ放置状態」だったしアクセスも少ない状況だったので思い切ってサイトの全削除をしました。
警告のメールには「早くしないと使用中のドメインやレンタルサーバーを凍結する」との記載もあるので、一番手っ取り早く確実な方法で対処しました。
そう、該当Webサイトの削除です
ワードプレスで構築したサイトなので、
- FTPでサーバーに接続しブログ本体のファイルを削除
- サーバーの管理画面より関連したデータベースも削除
を行い何もない状態にしてしまいました。
使えないことはわかっていますが念のため両方ともバックアップはとっておきました。
これなら書き換えはできないだろ!(`ヘ´)
データベースを書き換えられていた?
素人の目で見た限りですので間違っているかもしれませんが、ダウンロードしたデータを調べてみたところデータベースの内容を書き換えられていたようです。
ワードプレスそのものがデータベースの内容を読み出してWebページを構成するといった動作をするシステムなので至極まっとうな乗っ取り方なのでしょう。
その他の対処
該当のサイトは削除してしまったのでとりあえず乗っ取りの問題は解決となったのですが、同一のサーバー上で複数のWebサイトが稼働しているので、これらをそのままにしておくのも気持ち悪いです。
サーバーの中を探られている可能性も否定できないので他のサイトに同じようなことが起きる可能性は高いですからね。
ただ対処といっても大げさなことができるわけではありません。
やったことと言えば、
- ワードプレスを最新バージョンにアップデート
- 各Webサイトのログインパスワードの変更
これは今まであまり気にせず思い出しやすい文字列で済ませていたものを複雑で数の多い(12桁)パスワードに変えました。 - サーバーのログインパスワードの変更(FTPパスワードも兼ねている)
どこから侵入されたのかわからないのでこちらも同じく12桁の複雑なものに変えました。

パスワード管理は大切
考えてみれば当たり前のこの程度のことしか出来ないなぁと今更ながらに気づく愚か者がここにいます。
あとは、各サイトのログインユーザーの変更かな。
ワードプレスをデフォルトでインストールするとログインユーザーは自動的に「admin」となってしまっているのでこれを各サイトごとに違うユーザー名に変えようと現在進行中です。
今思いついたんだけど、各データーベース(1サイトに1つのDBとしてある)のパスワード変更も出来ればいいかな。
ただこれはなかなか大変そうだし失敗すると取り返しが付かないのであまりやりたくはないですね。
バックアップをとっておけばいいか?でも面倒だなぁ…。
まとめ まさか自分のサイトが…
というのが第一印象でした。
結局のところ自分に被害が及ばないと人事なんですよね。
単純なパスワードになっているのがわかっていても「まあいいや、被害がないから」でやり過ごしてきた結果がサイトの乗っ取りという寝耳に水の被害でした。
こういった個人が運営しているセキュリティの甘いサイトが狙われているのかもしれません。今
回も警告のメールがなかったらサイトの乗っ取りに気づくのがいつになっていたことやら。その間迷惑をばらまいていたのかと思うと身の縮む思いです。
サイトの改ざんや乗っ取りは気づかずにいると、被害を受けた被疑者が加害者となってしまう危険性のある深刻な状態と言えます。
個人の運営だからセキュリティも甘いというのは言い訳にもなりません。
放っておくと知らぬうちにサイトを乗っ取られ、被害者から突然に損害賠償請求されてしまうかもしれませんよ。

ナム〜〜〜
くわばらくわばら!!
コメント