またサイトがハッキングされました(涙) 今回の入口はJoomla… | スーのページ

またサイトがハッキングされました(涙) 今回の入口はJoomla…

またサイトがハッキングされ、ショックを隠しきれないスーです。。(涙)
いえ、ね、、10日ほど前(6/21)にね、私の古いサイトの1つの表示がおかしいのを見つけ、「ハッキングされた!!」と、対処したんです。(実は、10日間もハッキングされたままでした。。)
おかしなファイルを削除し、変なコードがないか確認して元に戻し、パスワードを変更しました。
それはJoomlaというプログラムを使ったサイトだったのですが、5年ほど放置していました。
まぁ、1日に数回のアクセスしかないサイトだし、とりあえずこれでいっか。
と、ろくに調べもせず現状復帰で作業を終えました。
7月1日、午後2時、タイマッサージの常連のお客様からのメールが届いて飛び上がりました。
「すーさんのHP、もしかしてハックされました?」
すぐにスマホでスーのページを見ると、なんと真っ白404。
そしてタイマッサージのサイトを見ると!!
写真
うわぁああぁああ!! ハッキングされてるーっ!!(>△<。
サイトからは、韓国ドラマの涙を流した動画と歌が流れ、ハッカー達の名前が書かれていました。。

Hacked by RESIS-07
We Are:
M4M3N – Mr.Ziborn – Mr.CeRoS404 – Mr.Perface – Mr.Shin – ./CI0wn5

あわわわ。。。
私の他のサイトも確認すると、なんと8割がたやられていました。
マジか。。。

ハッカーがやったことに気づく

まずFTPでサーバーに繋ぎ、中身を確認。
「index.php」が7/1の12:39に更新されていました。
そう、前日の夜中(6/30 22:00)にタイマッサージのサイトを更新したので、一体いつの間に!? と思ったら、1時間半前にハッキングされていたのです。
逆にお客さんが教えてくれたお陰で、土曜の昼というアクセス数の少ない時間帯1時間半の間に気づくことができて、ラッキーでした。

7/1の12:39~14:00の間にスーのページのいずれかのサイトへアクセスして下さった方、恐ろしい思いをさせてしまってすみません。。m(_ _)m
幸い、いずれかのトップページが上記の韓国動画に改ざんされただけで、悪意のあるファイルを自動でダウンロードしたり、ウィルス感染などはなかったようです。

さて、サーバーの中には、「index.Backup.php」というバックアップファイルがご丁寧にも作られており、中を見ると、これが元のファイルでした。
なので、「index.php」を削除し、「index.Backup.php」を「index.php」に名前変更すると、とりあえずサイトは元に戻りました。
なんて優しいハッカーなんだ。。
しかしサーバー内の全トップフォルダには、「asu.html」というファイルが出現しており、中身は、ハッカーの名前とこんな言葉が。

Why ?? (なぜって??)
Don’t Panic Sir (まぁ慌てなさんな)
I Just Test (ただテストしただけさ)
Your Security Site <3 (アンタのサイトのセキュリティをね♡)

トップフォルダは80個ぐらいあったので、全部手動で確認しましたよ。。
しかし、手動で確認している途中に、おかしなフォルダ発見!!
「symCeRoS」という名前のフォルダです。
明らかに怪しすぎです。
中には、「.htaccess」があり、ファイルの中身。

DirectoryIndex Sux.html
AddType text/plain .php
AddHandler server-parsed .php
AddType text/plain .html
AddHandler txt .html
Require None

気になったので、検索すると、、、
ななんと、「sym」というフォルダを作り、root(サーバーの一番上)へのリンクを作ることで、サーバーの全ファイルが丸見えになるハッキング方法ということが判明しました。。ガーンガーン!!(>△<。
そして、それに沿って見つけたファイル、古いJoomlaの中にあった「sym.php」に恐る恐るアクセスしてみると、、、
写真
ゾーッ。。背筋凍りました。。
なにこれ。。
すぐに削除しようと思ったけれど、試しに適当なファイルをアップロードしてみました。
すると、簡単にサーバー内のフォルダにアップされたではないですか。。
つまり、Joomlaのセキュリティホールをついて、まずサイトに侵入し、ハッキング用のコードを書いたファイル類をサーバーにアップロードすることで、サーバー内のどこにでもアクセスし放題のバックドアを作られてしまったわけです。。
10日前にもっときちんと対処していれば、こんなことにはならなかったかもしれないのですが、後の祭り。

私がやったこと

まず、怪しいファイルはFTPで全部削除。
しかし消えないものが「root」という名前のフォルダ。
FTPで消そうとすると、なんだか物凄いスピードでファイル名だかが流れて行き、これはサーバー内のデータごっそり全部消去コマンドっぽい・・・と嫌な予感がしたので、途中でキャンセル。
次に、Tera Termでサーバーにssh接続してコマンド実行。
find -name asu.html(asu.htmlの存在をチェック)
find -name sym*(symのつくファイル・フォルダの存在をチェック)
grep -r “hacked” フォルダ名(hackedと書かれた、フォルダ内のファイルの内容の存在をチェック)
find -name “*” -mtime -1(1日以内に更新された全ファイルをチェック)
find -name “*” -mmin -180(3時間以内に更新された全ファイルをチェック)
消えなかった「root」という名前のフォルダが実はシンボリックリンクだと気づいたので、
unlink root コマンドで削除成功。
一歩間違えたら、全サイトふっとんでました。。ヒェェ。。
その他やったこと
・Joomlaで作ったサイト(2つ)を削除
・Wordpressのデーターベースを1ヶ月前のバックアップと比較(改ざんなし)
・FTP、wordpress、データーベースのパスワードを変更
・.htaccessのパーミッションを604に変更
・wp-config.phpのパーミッションを400に変更
・自分のPCのウィルスチェック(感染なし)
WordPress の安全性を高めるの項目をチェック
一応ここ2日間、勝手に変なファイルが増えていないか、チェックしていますが今のところは大丈夫です。
find -name “*” -mmin -720(12時間以内に更新された全ファイルをチェック)
また、ワードプレスのデーターベースが改ざんされていなかったので、ワードプレスの方は大丈夫な感じがしますが、念のため、全部インストールしなおそうと思っています。。
サーバーも変更しようかな。。
はぁ、去年に続いてまたもやハッキングされてしまうなんて。。(>_<。
サイトがハッキングされていました! WordPressの方はご注意を!
これを機会に、もうちょっとサイト内を整理整頓し、古いファイルをなんとかしていこうと思います。
さよならJoomla!


Amazonのちょっとお得情報 3件

【2019年6月25日~7月16日】1000ポイントもらえる!
プライム会員限定だけど、ギフト券を5000円分買って、それを家族や友達のアカウントにチャージすれば、なんと合計1000ポイントもらえるよ!(>▽<)
お互いに送りあいっこしてもいいね☆
前もあったけど、またこのキャンペーン来たー!!

①まず、アマゾンギフト券の配送タイプを5,000円以上買うと500ポイント
②その購入したギフト券を家族や友人にプレゼントして、贈ったギフト券が受取人のアカウントに5,000円以上登録(10/17まで)されたら500ポイント

プライム会員でない人は、会費月額500円なので、この機会だけ申し込んでもお得!(←私は年間会員5月で終了したので、このために月額で入るよ!1ヶ月は無料だしね(笑))
プライム会員になるAmazon プライム無料体験に登録
キャンペーン【プライム会員限定】Amazonギフト券(配送タイプ)5,000円購入で最大1,000ポイント
【2019年5月13日~7月28日】500円クーポンもらえる!
各地のドラッグストアやドンキホーテのレジで3,000円以上をアマゾンギフト券にチャージすると、すぐに500円クーポンがもらえるよ!(←私はもうやっちゃいました(>▽<))

方法は、↓のリンクから、「近くの取扱店」を探し、「バーコードを表示」でSMSで送られてくるリンク先のバーコードをレジで見せてお金を払うだけ!
すぐに残高にチャージ分が追加され、クーポン500円分もらえてお得!(クーポンの期限は8月31日までなので、それまでに何か買おうね♪)
【Amazon Cash 初回限定キャンペーン】3,000円以上をギフト券残高に追加いただくと次回のお買物に使える500円クーポンをプレゼント
【2019年4月9日~終了日未定】3ヶ月音楽聴き放題!
Amazon Music Unlimited」が、無料でなんと90日間お試し可能!
6500万曲以上が、90日間も音楽聴き放題なんて!(>▽<)

【条件】まず、amazonから楽曲をダウンロード(無料~)し、それからAmazon Music Unlimited(月額)の無料体験に申し込むこと。
【対象者】登録画面「30日間無料体験を始める」と表示される方。
【対象かどうかの確認】登録画面の個人プラン表示の下に「90日間0円」と表示されていること。
【新規登録限定】MP3ダウンロードでAmazon Music Unlimitedが 90日間お試し可能
無料~の楽曲はコチラ!→「無料&スペシャル・プライス」
Amazon Music Unlimitedの申し込みはコチラ!
※退会・解約は「Amazon Musicの設定」→「会員登録をキャンセルする」で、いつでも可能です♪
  • このエントリーをはてなブックマークに追加

【楽天市場】ランキング市場 【ケーキ】

楽天ウェブサービスセンター