県別コロナウィルス病床数

またサイトがハッキングされました(涙) 今回の入口はJoomla…

またサイトがハッキングされ、ショックを隠しきれないスーです。。(涙)

いえ、ね、、10日ほど前(6/21)にね、私の古いサイトの1つの表示がおかしいのを見つけ、「ハッキングされた!!」と、対処したんです。(実は、10日間もハッキングされたままでした。。)

おかしなファイルを削除し、変なコードがないか確認して元に戻し、パスワードを変更しました。

それはJoomlaというプログラムを使ったサイトだったのですが、5年ほど放置していました。
まぁ、1日に数回のアクセスしかないサイトだし、とりあえずこれでいっか。

と、ろくに調べもせず現状復帰で作業を終えました。

7月1日、午後2時、タイマッサージの常連のお客様からのメールが届いて飛び上がりました。

「すーさんのHP、もしかしてハックされました?」

すぐにスマホでスーのページを見ると、なんと真っ白404。
そしてタイマッサージのサイトを見ると!!

写真

うわぁああぁああ!! ハッキングされてるーっ!!(>△<。

サイトからは、韓国ドラマの涙を流した動画と歌が流れ、ハッカー達の名前が書かれていました。。

Hacked by RESIS-07
We Are:
M4M3N – Mr.Ziborn – Mr.CeRoS404 – Mr.Perface – Mr.Shin – ./CI0wn5

あわわわ。。。

私の他のサイトも確認すると、なんと8割がたやられていました。

マジか。。。

ハッカーがやったことに気づく

まずFTPでサーバーに繋ぎ、中身を確認。
「index.php」が7/1の12:39に更新されていました。

そう、前日の夜中(6/30 22:00)にタイマッサージのサイトを更新したので、一体いつの間に!? と思ったら、1時間半前にハッキングされていたのです。

逆にお客さんが教えてくれたお陰で、土曜の昼というアクセス数の少ない時間帯1時間半の間に気づくことができて、ラッキーでした。

7/1の12:39~14:00の間にスーのページのいずれかのサイトへアクセスして下さった方、恐ろしい思いをさせてしまってすみません。。m(_ _)m
幸い、いずれかのトップページが上記の韓国動画に改ざんされただけで、悪意のあるファイルを自動でダウンロードしたり、ウィルス感染などはなかったようです。

さて、サーバーの中には、「index.Backup.php」というバックアップファイルがご丁寧にも作られており、中を見ると、これが元のファイルでした。

なので、「index.php」を削除し、「index.Backup.php」を「index.php」に名前変更すると、とりあえずサイトは元に戻りました。

なんて優しいハッカーなんだ。。

しかしサーバー内の全トップフォルダには、「asu.html」というファイルが出現しており、中身は、ハッカーの名前とこんな言葉が。

Why ?? (なぜって??)
Don’t Panic Sir (まぁ慌てなさんな)
I Just Test (ただテストしただけさ)
Your Security Site <3 (アンタのサイトのセキュリティをね♡)

トップフォルダは80個ぐらいあったので、全部手動で確認しましたよ。。

しかし、手動で確認している途中に、おかしなフォルダ発見!!

「symCeRoS」という名前のフォルダです。
明らかに怪しすぎです。

中には、「.htaccess」があり、ファイルの中身。

DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None

気になったので、検索すると、、、

ななんと、「sym」というフォルダを作り、root(サーバーの一番上)へのリンクを作ることで、サーバーの全ファイルが丸見えになるハッキング方法ということが判明しました。。ガーンガーン!!(>△<。

そして、それに沿って見つけたファイル、古いJoomlaの中にあった「sym.php」に恐る恐るアクセスしてみると、、、

写真

ゾーッ。。背筋凍りました。。

なにこれ。。

すぐに削除しようと思ったけれど、試しに適当なファイルをアップロードしてみました。

すると、簡単にサーバー内のフォルダにアップされたではないですか。。

つまり、Joomlaのセキュリティホールをついて、まずサイトに侵入し、ハッキング用のコードを書いたファイル類をサーバーにアップロードすることで、サーバー内のどこにでもアクセスし放題のバックドアを作られてしまったわけです。。

10日前にもっときちんと対処していれば、こんなことにはならなかったかもしれないのですが、後の祭り。

私がやったこと

まず、怪しいファイルはFTPで全部削除。

しかし消えないものが「root」という名前のフォルダ。
FTPで消そうとすると、なんだか物凄いスピードでファイル名だかが流れて行き、これはサーバー内のデータごっそり全部消去コマンドっぽい・・・と嫌な予感がしたので、途中でキャンセル。

次に、Tera Termでサーバーにssh接続してコマンド実行。
find -name asu.html(asu.htmlの存在をチェック)
find -name sym*(symのつくファイル・フォルダの存在をチェック)
find -name “*” -mtime -1(1日以内に更新された全ファイルをチェック)
find -name “*” -mmin -180(3時間以内に更新された全ファイルをチェック)

消えなかった「root」という名前のフォルダが実はシンボリックリンクだと気づいたので、
unlink root コマンドで削除成功。
一歩間違えたら、全サイトふっとんでました。。ヒェェ。。

その他やったこと
・Joomlaで作ったサイト(2つ)を削除
・Wordpressのデーターベースを1ヶ月前のバックアップと比較(改ざんなし)
・FTP、wordpress、データーベースのパスワードを変更
・.htaccessのパーミッションを604に変更
・wp-config.phpのパーミッションを400に変更
・自分のPCのウィルスチェック(感染なし)
WordPress の安全性を高めるの項目をチェック

一応ここ2日間、勝手に変なファイルが増えていないか、チェックしていますが今のところは大丈夫です。
find -name “*” -mmin -720(12時間以内に更新された全ファイルをチェック)

また、ワードプレスのデーターベースが改ざんされていなかったので、ワードプレスの方は大丈夫な感じがしますが、念のため、全部インストールしなおそうと思っています。。
サーバーも変更しようかな。。

はぁ、去年に続いてまたもやハッキングされてしまうなんて。。(>_<。
サイトがハッキングされていました! WordPressの方はご注意を!

これを機会に、もうちょっとサイト内を整理整頓し、古いファイルをなんとかしていこうと思います。

さよならJoomla!


お小遣いアプリ紹介

ちょっとお得情報

コンビニ・ATM等チャージで1000ポイント貰えるよ♪
Amazonチャージ 初回購入で1000ポイントキャンペーン

ギフト券2000円で200ポイント貰えるよ♪
Amazonギフト券初回購入キャンペーン

30日間無料体験で本1冊無料だよ♪
最初の1冊は無料。ボイスブックAudible

動画の無料体験で見放題だよ♪
無料体験できる動画配信サービスを比較 見放題で半年以上無料に!?

kindleの無料本だよ♪
kindle無料本一覧
スーめも 目次一覧

人気の記事

ダイソーのマッサージグッズが凄くいい!すっきりバーは神レベル!
布とミシンで手帳型スマホケースの作り方 画面の傷も防止
Let’s note CF-J10を改良でメモリ16G、無線11ac、Bluetoothも可能に!
通販? ハイハイ? 催眠商法? のお店が100円で色々くれて凄かった
アマゾンで注文 China postが遅すぎる! が、無事に到着
ディスプレイの傷を消す コンパウンドで綺麗に消えた!
布とミシンで手帳型スマホケースを手作り お札もカードもバッチリ
500円でマッサージローラーを自作!体中がほぐせて超気持ちいい~☆
2020年6月 Amazonのタイムセール祭りで買ったもの全8点
スーの買い物
2020年6月 Amazonのタイムセール祭りで買ったもの全8点
2020.06.30
車購入、リフォーム失敗、脚立から落ちる、眠れない、そんな日々
スーめも
車購入、リフォーム失敗、脚立から落ちる、眠れない、そんな日々
2020.06.26
一戸建て車庫用の手動シャッターを交換☆その手順と費用を公開
スーの買い物
一戸建て車庫用の手動シャッターを交換☆その手順と費用を公開
2020.06.16
ど素人が車(eKクラッシィ)のETCを取り外してみたら、大変だった
スーレポ
ど素人が車(eKクラッシィ)のETCを取り外してみたら、大変だった
2020.06.15
もっと新着記事を見る

コメント

タイトルとURLをコピーしました