またサイトがハッキングされました(涙) 今回の入口はJoomla…

またサイトがハッキングされ、ショックを隠しきれないスーです。。(涙)

いえ、ね、、10日ほど前(6/21)にね、私の古いサイトの1つの表示がおかしいのを見つけ、「ハッキングされた!!」と、対処したんです。(実は、10日間もハッキングされたままでした。。)

おかしなファイルを削除し、変なコードがないか確認して元に戻し、パスワードを変更しました。

それはJoomlaというプログラムを使ったサイトだったのですが、5年ほど放置していました。
まぁ、1日に数回のアクセスしかないサイトだし、とりあえずこれでいっか。

と、ろくに調べもせず現状復帰で作業を終えました。

7月1日、午後2時、タイマッサージの常連のお客様からのメールが届いて飛び上がりました。

「すーさんのHP、もしかしてハックされました?」

すぐにスマホでスーのページを見ると、なんと真っ白404。
そしてタイマッサージのサイトを見ると!!

写真
うわぁああぁああ!! ハッキングされてるーっ!!(>△<。

サイトからは、韓国ドラマの涙を流した動画と歌が流れ、ハッカー達の名前が書かれていました。。

Hacked by RESIS-07
We Are:
M4M3N – Mr.Ziborn – Mr.CeRoS404 – Mr.Perface – Mr.Shin – ./CI0wn5

あわわわ。。。

私の他のサイトも確認すると、なんと8割がたやられていました。

マジか。。。

ハッカーがやったことに気づく


まずFTPでサーバーに繋ぎ、中身を確認。
「index.php」が7/1の12:39に更新されていました。

そう、前日の夜中(6/30 22:00)にタイマッサージのサイトを更新したので、一体いつの間に!? と思ったら、1時間半前にハッキングされていたのです。

逆にお客さんが教えてくれたお陰で、土曜の昼というアクセス数の少ない時間帯1時間半の間に気づくことができて、ラッキーでした。

7/1の12:39~14:00の間にスーのページのいずれかのサイトへアクセスして下さった方、恐ろしい思いをさせてしまってすみません。。m(_ _)m
幸い、いずれかのトップページが上記の韓国動画に改ざんされただけで、悪意のあるファイルを自動でダウンロードしたり、ウィルス感染などはなかったようです。

さて、サーバーの中には、「index.Backup.php」というバックアップファイルがご丁寧にも作られており、中を見ると、これが元のファイルでした。

なので、「index.php」を削除し、「index.Backup.php」を「index.php」に名前変更すると、とりあえずサイトは元に戻りました。

なんて優しいハッカーなんだ。。

しかしサーバー内の全トップフォルダには、「asu.html」というファイルが出現しており、中身は、ハッカーの名前とこんな言葉が。

Why ?? (なぜって??)
Don’t Panic Sir (まぁ慌てなさんな)
I Just Test (ただテストしただけさ)
Your Security Site <3 (アンタのサイトのセキュリティをね♡)


トップフォルダは80個ぐらいあったので、全部手動で確認しましたよ。。

しかし、手動で確認している途中に、おかしなフォルダ発見!!

「symCeRoS」という名前のフォルダです。
明らかに怪しすぎです。

中には、「.htaccess」があり、ファイルの中身。

DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None


気になったので、検索すると、、、

ななんと、「sym」というフォルダを作り、root(サーバーの一番上)へのリンクを作ることで、サーバーの全ファイルが丸見えになるハッキング方法ということが判明しました。。ガーンガーン!!(>△<。

そして、それに沿って見つけたファイル、古いJoomlaの中にあった「sym.php」に恐る恐るアクセスしてみると、、、

写真
ゾーッ。。背筋凍りました。。

なにこれ。。

すぐに削除しようと思ったけれど、試しに適当なファイルをアップロードしてみました。

すると、簡単にサーバー内のフォルダにアップされたではないですか。。

つまり、Joomlaのセキュリティホールをついて、まずサイトに侵入し、ハッキング用のコードを書いたファイル類をサーバーにアップロードすることで、サーバー内のどこにでもアクセスし放題のバックドアを作られてしまったわけです。。

10日前にもっときちんと対処していれば、こんなことにはならなかったかもしれないのですが、後の祭り。

私がやったこと


まず、怪しいファイルはFTPで全部削除。

しかし消えないものが「root」という名前のフォルダ。
FTPで消そうとすると、なんだか物凄いスピードでファイル名だかが流れて行き、これはサーバー内のデータごっそり全部消去コマンドっぽい・・・と嫌な予感がしたので、途中でキャンセル。

次に、Tera Termでサーバーにssh接続してコマンド実行。
find -name asu.html(asu.htmlの存在をチェック)
find -name sym*(symのつくファイル・フォルダの存在をチェック)
find -name “*” -mtime -1(1日以内に更新された全ファイルをチェック)
find -name “*” -mmin -180(3時間以内に更新された全ファイルをチェック)

消えなかった「root」という名前のフォルダが実はシンボリックリンクだと気づいたので、
unlink root コマンドで削除成功。
一歩間違えたら、全サイトふっとんでました。。ヒェェ。。

その他やったこと
・Joomlaで作ったサイト(2つ)を削除
・Wordpressのデーターベースを1ヶ月前のバックアップと比較(改ざんなし)
・FTP、wordpress、データーベースのパスワードを変更
・.htaccessのパーミッションを604に変更
・wp-config.phpのパーミッションを400に変更
・自分のPCのウィルスチェック(感染なし)
WordPress の安全性を高めるの項目をチェック

一応ここ2日間、勝手に変なファイルが増えていないか、チェックしていますが今のところは大丈夫です。
find -name “*” -mmin -720(12時間以内に更新された全ファイルをチェック)

また、ワードプレスのデーターベースが改ざんされていなかったので、ワードプレスの方は大丈夫な感じがしますが、念のため、全部インストールしなおそうと思っています。。
サーバーも変更しようかな。。

はぁ、去年に続いてまたもやハッキングされてしまうなんて。。(>_<。
サイトがハッキングされていました! WordPressの方はご注意を!

これを機会に、もうちょっとサイト内を整理整頓し、古いファイルをなんとかしていこうと思います。

さよならJoomla!

  • このエントリーをはてなブックマークに追加

【楽天市場】ランキング市場 【調味料】

4位
1944円~
レビュー(1231件)
楽天ウェブサービスセンター