レンタルサーバへ不正アクセスをされていたらしい件

2012年11月10日

少し前につぶやいてましたが、利用しているレンタルサーバ領域へ不正なアクセスがあったことを先日確認しました。

レンタルサーバへ不正アクセスはなぜ分かった?

気付いた理由ですが、身に覚えの無い奇妙なファイルがサーバ内部にあることを発見したからです。

詳細に調べてみたところ、いくつかのパターン化したファイルとフォルダの構成群(身に覚えのないphpファイルやhtmlファイルや画像)(以下、不正ファイル群)が、比較的深い階層にまでまたがり、サーバ内の数箇所に、無作為的かつ機械的に、設置をされたようでした。

なお、不正ファイルの新規追加は認められたものの、既存ファイルに対する改ざんや破壊行為にについては、調べた限りでは認められませんでした。

レンタルサーバへ不正アクセスへどう対応した?

この不正ファイル群の分かりやすいものについては、手動で削除しました。

念のためパターンを見極め、サーバ内部に対してソフトウェア検索をし、さらに見つけたものについてはサーバから全て削除しました。

レンタルサーバへ不正アクセスで設置されたのはどんなファイルだった?

また、削除前にサーバ内の不正ファイル群をローカルPCにダウンロードをしたところ、ダウンロードした瞬間にウイルス検知にひっかかるものもあったので、ウイルスが仕込まれていた模様です。

orz……….

追加されていた不正ファイルに書かれているソースコードも見てみました。

プログラム言語についてそこまで詳しくないため、読んですべてが分かるわけではありませんが、海外ニュースサイトとヒモづいているような内容で、何か不気味で気持ち悪いものでございました。

削除するまでのあいだ、知らないうちに何らかの悪い活動をする土台になっていた可能性は否めません。

レンタルサーバへ不正アクセスされた件でレンタルサーバ会社に調査を依頼した結果

本件については、利用しているレンタルサーバ(さくらインターネット)に事情を報告し、詳細を調べていただきました。

するとどうやら、先月10月の接続元をみると、海外からのアクセスが何百回もあったという事実が発覚いたしました。

orz……..

この結果をもって、FTP接続パスワードが第三者へ漏洩している可能性が高いことが判明しました。

漏洩している場合、原因の可能性として、

  • パソコンがウイルスに感染している
  • パソコンが紛失、盗難にあった
  • 推測されやすい簡単なパスワードを設定していた

というアドバイスを受けたのですが、

パソコンにはウイルス対策ソフトを常駐させており、ウイルス定義の自動更新及び定時スキャンを設定している状態です。

利用しているパソコンはデスクトップ型ですが、紛失してませんし盗難にもあっていません。

パスワードが、推測されやすいかどうか、これについては正直私にはよく分かりません。

ただ、これまで長い期間に渡り、パスワードの変更は一度もしていなかった事実はあります。

これらの可能性のなかで、パスワードを推測された可能性が一番疑わしいような気はいたしましたが、なんともいえないですね。。

また、パスワードについては、現時点では変更済みとなります。

レンタルサーバへ不正アクセスされた件でブログにアクセスされている方への影響は?

不正ファイル設置されたことによるブログにアクセスされている方への影響についても申し上げます。

当ブログは、さくらインターネットの、さくらのブログを利用しておりますが、今回、不正ファイルを置かれたのは、さくらのレンタルサーバのほうです。

メモ本記事、執筆当時の話です。2021年現在は、さくらのブログは利用してません。

さくらのブログは、さくらのレンタルサーバとは別のサーバで稼働しているため、今回の件により、さくらのブログの運用サーバに不正なデータが設置された事実はありません。

ですので閲覧されている皆様のパソコンに不正ファイル設置により直接何らかの影響を受ける可能性は基本的に無いと思われます。

さくらのブログから、さくらのレンタルサーバのファイルを一部参照してはいますが、今回、既存ファイルへの破壊や改ざんは認められませんでした。

念のため、それら既存ファイルにおいてもローカルにダウンロードをし、ウイルス検閲し、問題ないことについては確認いたしました。

レンタルサーバへ不正アクセスされた件で個人的にも調査してみた

不正アクセスを受けた原因について、私個人的にも調べてみたのですが、比較的最近、cgi版phpの脆弱性をついた攻撃というのがあったことが気になりました。

参考:脆弱性発表のアナウンス
参考:実際に改ざんをうけた事例

cgi版phpであること、phpのバージョン、という2点においては私の環境はこの脆弱性の影響を受ける環境に一致しているように思いました。

サーバ内部にファイルの設置をされていた、という被害事例も似た部分があるように思います。

もしやこれなのでは。。。

PHP の脆弱性に関する注意喚起

PHP Group によると、末尾に「?-s」(ソースコードを表示させるオプション)を付与した URL を Web ブラウザで閲覧した際に、ソースコードが表示された場合は、本脆弱性の対象になるとのことです。

(確認方法の例)
http://example.com/index.php?-s

とのことですということで、これを試してみたのですが、ソースコードは表示されませんでした。

あれ、これじゃないのかな。。。うーん。

長々と書きましたが結局のところ、不正ログインをされるようになった原因、時期や経緯に至るまで、正確なところは未知です。

レンタルサーバを借りてもう長いですが、これまでにこうした目に見えた被害にあったことは恐らく初めてです。

セキュリティに対する危機感が全くなかったので、今回の件は勉強になりました。。

なお、さくらインターネットでは、コントロールパネル -> ログイン履歴より、一定期間のログイン情報を参照できます。

メモ2021年現在は、コントロールパネルの セキュリティ⇒サーバログイン履歴 で確認ができます。

IPアドレスが表示されますが、このIPアドレスを、whois情報検索などで調べることにより接続元の国を割り出すことができます。

定期的に参照して不正ログインされていないかを見ることも重要かもしれませんね。

参考ドメイン/IPアドレス サーチ 【whois情報検索】

おしまいに

やられてしまったことは、もう仕方が無いことですがフィッシングや不正アクセスなど色々ネット犯罪が多発している世の中です。

皆様もお気をつけくださいませ。。

長くなりましたが、ご報告は以上です。

テスト環境:さくらインターネット、さくらのレンタルサーバ

この記事は役に立ちましたか? 役立った 役立たなかった
2 人中 1 人がこの記事は役に立ったと言っています。

★新記事下ハイブリッドads

 

セキュリティwordpressおすすめ,びっくり系おすすめ