お得な入会キャンペーンいろいろ
PR

レンタルサーバーに不正アクセスされたら対策

レンタルサーバーがウイルス感染した時の対策 サイト制作
2022.11.28
この記事は約8分で読めます。

前回の対策からひと月ほど経って、マルウェアスキャナーがマルウェアを発見したので対策します。

自サイトから当選詐欺にリダイレクトされた場合の対処法
自サイトから偽警告サイトや当選詐欺サイトにリダイレクトが発生し、サイトが乗っ取られた可能性がある場合の対処法です。ハッキングされたサイトを放置すると、Google 検索結果からの排除やサーバーからの締め出されるので確認して対応してください。
tohaz.com
2022.10.18

マルウェアスキャナー

マルウェア発見はこんな感じ。プラグインから最新ファイルを突き止めるのは有料版を購入する必要があります。

マルウェアスキャナー マルウェア検知画面

とりあえず、サーバーでファイルの確認。

こんなファイル名 WordPress にあったかなって名前のファイルを発見。

中身を開いたら、不正にリダイレクトをかける記述を発見。

  • 不正ファイル名:opl.php
  • 不正内容:マルウェアでよく使われる eval 関数 を利用して不正な処理をしている。

すぐに不正ファイルを削除して、再度 WordPress にマルウェアスキャナをかけるとマルウェアがなくなりました。

このマルウェアスキャナーはかなり優秀です。感謝。

今回はすぐに不正ファイルが見つかりましたが、見つからない場合は有料版を導入するとファイルの特定から削除までマルウェアスキャナーのダッシュボードで完了します。

Jetpack Protect

Jetpack Protect はダッシュボードに

「Don’t worry about a thing.The last Protect scan ran 1 hour ago and everything looked great.(何も心配しないで。最後の保護スキャンは 1時間前に実行され、すべてが良好に見えました。)」

と表示され今回はマルウェアを見つけることができませんでした。

有料版なら更新が早いので見つけていた可能性があります。

サーバー内の不要ファイルを削除

不正ファイルがサーバー内に仕込まれた原因は突き止めることができませんでした。

原因はいろいろと考えられますが、アイデアが浮かんで作りかけの更新していない WordPress から脆弱性ぜいじゃくせいを突かれて不正侵入された可能性があります。

サーバーにインストールしていた WordPress は全て汚染されていたので、手を付けていない WordPress はアンインストールして利用ドメインは初期化しました。

Xサーバーで WordPress をアンインストールする方法
Xサーバーの WordPress をアンインストールする方法です。このページを参考にすると Xサーバーにある WordPress を安全に削除できます。必要なくなったデータベースの削除、ドメインの初期化と削除方法もこちらで確認できます。
tohaz.com
2022.11.21

また、レンタルサーバーをファイルの移動や倉庫にも使っていましたが、どこにバックドアやマルウェアが隠れているか分からないのでサーバーに保存していたフォルダやファイルも削除しました。

サーバーが犯されるのは想定外でしたが、今後はできる限り1サーバーに1サイトで脆弱性を突かれないように運営していこうと思います。

サイトの確認

マルウェアスキャナでマルウェアに汚染されていないことを確認後です。

サイトが乗っ取られると、知らない間に不審なユーザーが登録されています。非常に危険なのですぐに確認してください。

管理画面の左メニュー[ユーザー]内[ユーザー一覧]を押します。

知らないユーザーがここにいたらすぐに削除してください。

WordPress ユーザー一覧

SiteGuard プラグイン

今回、被害が大きくならなかったのは SiteGuard プラグインの功績が大きいです。

ブロックした悪意あるログイン試行はSiteGuard WP Pluginで撃退
ブロックした悪意あるログイン試行からSiteGuard WP Pluginを使用してwordpressを守る方法。ブロックした悪意あるログイン試行からwordpressを守る最良の方法はログイン画面のURLを変更することです。
tohaz.com
2020.03.09

スパマーのログインをブロックした状況を確認します。

管理画面左メニューの SiteGuard の[ダッシュボード]内[ログイン履歴]を確認します。

SiteGuard ログイン履歴

IP アドレス 102.129.152.76 にアタックされていました。

102.129.152.76 は詐欺のリスクが高い IP アドレス

IPアドレス詐欺チェッカーで確認すると詐欺のリスクが高いIPアドレスです。危ない。

Scamalytics
Scamalytics IP address fraud risk lookup. Check IP addresses on our website or use our API. Check for proxies and fraud ...
scamalytics.com

SiteGuard でログインロックを使っていたので、同一接続元からの連続したログイン失敗を検出して、当該接続元からのログインをロックします。

多くの接続元を使用する攻撃や、ゆっくりとした攻撃には効果がない場合がありますが、機械的なログイン試行をブロックするには効果を発揮します。

SiteGuard ログインロック設定

さらに SiteGuard でスパム対策をしました。

  • 管理ページのアクセス制限
  • ログインページの変更と URL の複雑化
  • フェールワンスの導入

フェールワンスは正しい入力を行っても、ログインを一回失敗します。わかっていてもログインに失敗すると毎回どきっとします。

これで、SiteGuard の対策は完了です。

WordPress ログインパスワードの複雑化

WordPress のログインパスワードを特定まで時間がかかるように複雑化しました。

パスワードの変更方法は、管理画面の左メニュー[ユーザー]内[ユーザー一覧]を押します。

右がユーザー画面に切り替わったらパスワードを変更するユーザーの[名前]か[編集]を押します。

WordPress ユーザー編集

プロフィール画面が開くので、アカウント管理の新しいパスワーから[新しいパスワードを設定]を押すとログインパスワードを変更できます。

WordPress パスワードの変更方法

これで、サイトのパスワードが盗まれていてもスパマーはログインできません。

サーバーのパスワードを変更する

今回のトラブルは Xサーバーだったので、パスワードを変更してパスワードの特定が困難になるように複雑化しました。

  • Xserverアカウント
  • FTPパスワード
Xserver のパスワードを変更する方法
Xserver のパスワードを変更する方法はこのページで確認できます。Xサーバーをレンタルすると、Xサーバーアカウント、サーバーID(FTPユーザーID)WEBメールのそれぞれにバスワードを設定できるので関連性と設定方法をまとめてあります。
tohaz.com
2022.11.23

これで、サーバー方面と FTP を利用した通信のブロックが完了です。

その他の対策

不正アクセスの原因は大きく2種類あります。

  • セキュリティーホール:例)WordPress 等のプログラムにセキュリティ上問題のある脆弱性があり、スパマーにバグを利用して不正なコマンドの実行やファイルの設置をされた。
  • パスワードの流出:例)FTP情報が流出してスパマーから不正にFTP接続されると、ファイルの改ざんや不正プログラムの設置などしたい放題。

セキュリティホール検知サイト

まずはマルウェアやバックドアなど徹底的に調べます。

ウェブサイトのセキュリティ状況をチェックするサイトです。URL を入力するとチェックできます。

gred|安全なサイトはgreen、危険なサイトはredでお知らせ。無料のWeb安全チェックサービスといえばグレッド!
gred(グレッド)は、そのサイトが安全(green)か危険(red)かを判断する、無料のWebチェックサービスです。
check.gred.jp
aguse.jp: ウェブ調査
あやしいサイトや知らないサイトを訪れる前に、URLを入力するだけでサイト背景情報を調査したり、迷惑メールの送付経路を表示したりすることが出来ます。
www.aguse.jp

Wordfence Security プラグインの導入

WordPress にファイアーウォールプラグインをインストールします。

Wordfence Security は WordPress プラグインディレクトリから自動でインストールできます。

Wordfence インストール
プラグインのインストール方法 WordPress
WordPress のプラグインをインストールする方法です。公式サイトやzip 形式のファイル、FTPソフトを利用したインストールの仕方を画像を利用してわかりやすく説明しています。プラグインの有効化と設定方法も記録しています。
tohaz.com
2022.10.27

インストールして有効化すると Wordfence Security が起動して

  • セキュリティアラートを送信するメールアドレスの入力
  • メーリングリスト参加の可否
  • 利用規約や契約、プライバシーポリシーのチェック

の必要事項を記載して[次へ]を押します。

Wordfence 利用規約の承諾

有料版のプレミアムライセンスキーの入力画面です。[いいえ、結構です]を押します。

Wordfence 有料版のプレミアムライセンスキーの入力画面

有料版と無料版の違い

  • 有料版は年1万円程度の料金で、リアルタイムのファイアウォール ルール、マルウェア シグネチャ、国のブロックを取得し、動的に更新される IP ブロックリストを使用して 40,000 を超える悪意のある IP をブロックします。プレミアムカスタマーサポートが含まれています。
  • 無料版は、サイトを安全に保つために必要な基本的なツールで攻撃をブロックします。ファイアウォール ルールとマルウェア シグネチャは 30日間の遅延があります。
Products - Wordfence
www.wordfence.com

Wordfence が起動します。

上部通知にある「サイトをできるだけ安全にするために、Wordfence Web アプリケーションファイアウォールを最適化する時間を取ってください。」の[設定するにはここをクリック]を押します。

通知されている「Wordfence を自動的に最新の状態を保つようにしますか?」は好みの方法を選択してください。自動更新の有効はいつでもできます。
サイトをできるだけ安全にするために、Wordfence Web アプリケーションファイアウォールを最適化する時間を取ってください

Wordfence ファイアウォールの最適化が開きます。

  1. サーバーの構成が分かっている場合はプルダウンから選択してください。(分からない場合はそのままでOK)
  2. .htaccess や .user.ini ファイルをダウンロードしてください。最適化に失敗した場合に置き換えると元に戻せます。
  3. 準備が済んだら[次へ]を押して設定を完了します。
Optimizing The Firewall - Wordfence
The Wordfence firewall has a feature that allows the firewall to be loaded before any other code loads. This provides th...
www.wordfence.com
Wordfence ファイアウォールの最適化
Wordfence は有効化するだけで自動的にファイアウォールやマルウェアスキャンなどの機能を最適化するので、特に設定をする必要がありません。

まとめ

まだ、終わったわけではないですが、マルウェアの検出も不正ログインの痕跡もいまのところないです。

本当に、

  • Google からサイトの乗っ取りを指摘されて検索結果から排除
  • サーバーから不正アクセスの連絡を受けてレンタルスペースの強制隔離

になる前に対策できたことが不幸中の幸いでした。

1か月ほど様子を見て、問題が無いようなら Xserver をさらに高速な最新サーバーに無料移行します。

また問題があるようなら、ドメインを初期化して、ワードプレスとプラグインのクリーンインストールをするつもりです。

WordPress を削除して再インストールする方法
ウイルス感染して乗っ取られた サイトの WordPress をクリーンインストールしてマルウェアを完全除去する方法です。マルウェアで困ってるならこのページ。エックスサーバーでドメインを初期化して WordPress を再インストールします。
tohaz.com
2022.12.10
サイト制作
wordpress
シェアする
りゅうをフォローする
この記事が気に入ったら
いいね!しよう
最新情報をお届けします。
りゅう
りゅう

普段の疑問を解決した方法が中心で書きたいことをどんどん書いてます。

りゅうをフォローする
りゅう

コメント

タイトルとURLをコピーしました