不正アクセスによりサーバー停止！初心者が復旧させるまでの3日間

ある日、ワードプレスの管理画面にログインしようとしたら

医学生みと

あれ？管理画面に繋がらないぞ！！

403エラーが表示されてページが開けない

でも管理画面以外の普通のページ自体は開けるな

こんな状態になりました

さらに時間が経つと全てのページが見られなくなってしまいました

結論として、原因は不正アクセスされてしまい不正プログラムのファイルが設置されていたことによります。

そこから頑張って復旧して今のようにページが見れます

このように不正アクセスされてサーバーが使い物にならなくなってから復旧するまでの僕の体験を紹介します

僕のような初心者でも3日で復旧させられました！

使用しているサーバーはエックスサーバーです

エックスサーバーはメールで24時間365日サポートを受けられます。今回はこのサービスに非常に助けられました。平日には電話での対応もあります

最初に言いますが、初心者なので何もわからずとても時間がかかりましたし面倒くさかったです

こんな大変な思いをさせた不正アクセス絶対に許さない！！

1日目

事の発端は、冒頭にもお話しした通り、

医学生みと

あれ？管理画面に繋がらないぞ！！

403エラーが表示されてページが開けない

でも管理画面以外の普通のページは開けるな

というところから始まります

まずはエックスサーバーでのよくあるお問い合わせを見て同じ現象がないか探しました

しかし同じような状況は見当たらず、結局メールでお問い合わせをすることになりました

エックスサーバーは平日なら電話でも対応してもらえるのですが、このエラーに気づいたのが金曜日の夜だったのでメールで問い合わせをすることになりました

24時間365日メールで対応してもらえるのは非常にありがたかったです

初心者なのでとっても助かりました

問い合わせをしてから2時間後にメールが返ってきました。とても早かったです

エックスサーバーサポート

『.htaccess』に変な記述（10行くらい）あるからそれを削除したらいいと思う！

その記述に心当たりないなら不正アクセスが疑われるから調査してもいいかな？

という内容の返信でした

医学生みと

ふ、不正アクセス！？

まさか不正アクセスなんて自分とは縁のない話だと思っていたので驚きました

もちろん、不正アクセスの調査をお願いしました

ちなみに、

「.htaccess」の該当記述を削除しましたが、管理画面には繋がらず、さらには今まで見れていた普通のページが真っ白になり見れなくなってしまいました

（削除しなさいと言われた10行の該当部分をもう一度記述してみてもページが見れないままです）

結局、管理画面が見れないどころか普通の自分のサイトすら開けなくなりました

このようにして初日が終わりました

２日目

朝の10時に「不正アクセスの調査を進める」という旨のメールが届きました

17時頃、ついに不正アクセス調査の結果がきました！

【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について

という件名でメールが届きました

「やはり、不正アクセスされていたのか...」と落胆しながら読み進めていきます

お客様からのご連絡を受け、当サポートにてセキュリティ調査を行いましたところ、お客様がご利用のプログラムにセキュリティ上致命的なバグ（脆弱性）が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
そのため、事後のご案内となり大変恐縮でございますが、緊急措置として下記制限を実施しております。
・「Wordpressセキュリティ設定」の全機能の有効化
・「WAF設定」の全機能の有効化
・不審なcron設定の削除
・設定されていた不正プログラムファイルについて。パーミッションを「000」へ変更し、機能を無効化
[不正プログラムと思われるファイル一覧]
ーーーーーーーー中略ーーーーーーー

不正なファイルは全部で13個設置されていました

また、不正なアクセスログなども教えていただきました。

医学生みと

エックスサーバーのサーバーパネルから簡単に行えるセキュリティ設定を知らなかった自分のミスと痛感しています

「国外IPアドレス制限」や「ログイン試行回数制限」などボタン一つで簡単に行え、セキュリティが強化されるのにそれを知らずにいました

無知は罪ですね

しっかり、これからの対応方法もメールに記載されています

【2】お客様に行っていただきたい対応内容について
お客様のPCや運用中のサイトのセキュリティ対策はお客様ご自身にて管理を行っていただく責任がございます。
この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや改ざんされたファイルをサーバーアカウント上から完全に駆除するため、大変お手数ですが、下記作業をなさいますようお願いします
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
[1]ご利用中のPCにてセキュリティチェックをおこなってください。
[2]検出されているすべてのファイルの完全削除、または、該当ドメイン名を「初期化」してください
[3]FTPソフトによるデータアップロードなど、ホームページ再開のための作業を行ってください
[4]該当ドメインにて設置されていたプログラムにおいて、脆弱性の調査を必ず行ってください
[5]設置されているWordPress等の設置プログラムについての管理パスワードを変更してください

実際は、それぞれの項目でやるべきことを詳しく説明してくださっています

[1]を終え、[2]に進みました。今回は検出されているファイルの削除を行いました。

メールを読む限り、前述の不正プログラムと思われるファイル一覧に記載されているファイルをすべて削除するだけでよさそうでした

初心者なので[3]がよくわからず、データアップロードって具体的に何をアップロードすればいいのかわかりませんでした

その時、閃いたのです！！

医学生みと

エックスサーバーって自動でバックアップとってくれるから、不正アクセスされる前の状態に復元すればいいんじゃないか？

↑この発想はダメなのでやめといた方がいいです

このようにして、[3]で挫折した僕はバックアップから復元という考えに至るのです

エックスサーバーは簡単にバックアップから復元することができるので、すぐに不正アクセス前の状態に戻すことができました

自動バックアップって便利だなぁと思いました

バックアップから復元すると、サイトが見れるようになりました！！

しかし、管理画面には新しくエラーコード500が表示され、未だ開くことができません

困ったので、またサポートにメールしました

３日目

メールが返ってきました

不正アクセス発生以前のバックアップデータであっても 脆弱性を孕んでいる可能性が高いため、
「バックアップデータからの復元」を実行されますと、また同じ問題が発生する可能性がございます。

ということで、バックアップから復元は悪手のようです

また問題が発生するから確実に【クリーンなデータ】を用いて再構築しなさいということで、初期化することにしました

このメールの文章には、再構築するための手順が載っていました

そのメールと下のサイトを参考になんとか頑張りました！

エックスサーバーからの不正アクセスメールで強制サーバー制限！ワードプレスの復旧できますか？！

エックスサーバーからのメール「利用中のサーバーへの不正アクセスを検知したので、サーバーアカウントに対する緊急的なWebアクセス制限」これにより、運用中だったワードプレスサイトが403エラーになってしまったというご相談を受けました。今回は、このようになってしまう理由と解決方法を詳しく解説しました。

yuka001.com

エックスサーバーから不正アクセスによる強制制限｜復旧まで一部始終の体験談

こんにちは。 このページにたどり着いた方は、エックスサーバー（Xserver）から不正アクセスによる、強制制限…

kojikoji.biz

手順1 MySQL関連の情報をメモ

エックスサーバーのファイルマネージャーを開いて、「wp-config.php」に書いてある以下の内容をメモしておきます（wp-config.phpは/ドメイン名/public_html/にあります）

・MySQLデータベース
・MySQLデータベースユーザー
・MySQLデータベースユーザーのパスワード
・MySQLホスト

手順2 uploadsファイルを取り込む

ドメイン名/public_html/wp-contentの中に「uploads」ファイルがあるので丸ごとPCにデータを保存します

医学生みと

新しく何かをダウンロードするのが面倒くさくて、頑張ってエックスサーバーのファイルマネージャーを使っていましたが、データが大きいと扱うのが大変なので、FileZillaを使った方がいいです

ファイルマネージャーではフォルダはダウンロードできなかったり、圧縮の必要性があったりします

この手順１と手順２だけで復旧するための必要なデータがそろってしまうのです！すごいですよね

手順3 ドメインの初期化

初期化するの怖かったです

でも、もう復旧に疲れていて「どうにでもなれ」と思い勇気を出して初期化しました

手順4 WordPressを再インストール

初期化後、サーバーパネルの「WordPress簡単インストール」から再設定しました

設定終了後、ファイルマネージャーなどで「wp-config.php」を開き手順１でメモした情報に置き換えます

さらに、FileZillaなどでドメイン名/public_html/wp-content/uploadsを手順2で保存しておいた「uploads」に置き換えます

これだけで記事の内容が戻っているのです！！

医学生みと

手順２と逆の動きをするだけです

手順5 テーマやプラグインを再設定する

サイトを最初に設定した時のように、テーマやプラグインを再設定します

これが特にだるかったです

このサイトはドメインにハイフンが２つ連続しています。そのような場合ブログカードなどがうまく表示されないのでwptexturize関数を無効化する設定が必要でした

そのやり方を記事として残しておいていたので、Googleで検索して方法を探す手間が省けてよかったです

色々と自分の経験を記事に残しておく大切さを痛感しました

内部ブログカード が表示されない＆URLにうまく飛べない時の対処法

wordpressで内部ブログカード が正しく表示されない時の対処法。色々調べましたが、内部ブログカード が表示できません。URLの日本語をエンコード したり、パーマリンクを変更したけどうまくいきません。そんな方は、ブログのURLにハイフン「-」が連続して２つ入っていませんか？それがブログカードを使えない根源なのです。解決策を教えます

medical--student.com

2021.10.12

大変ではありましたが、今のようにしてなんとかサイトを復活させることができました！

参考にさせてもらったサイトの皆さん、エックスサーバーのサポートの皆さんありがとうございました

サーバーを選ぶときは、エックスサーバーのような充実したサポートがついているものを選びましょう

不正アクセスの被害に遭わないようにする方法

まずはエックスサーバーのセキュリティを利用しましょう

サーバーパネルからボタン一つで簡単にできます

詳しくはこちら

他にも

・テーマやプラグインなどアップデートする＆使ってないものを削除

・PCなどの環境をアップデートする

・ログインのパスワードなどを推測されないよう強化する＆定期的に変更

・プラグインで対策を行う

このような対策が考えられます

まとめ

今回は不正アクセスの被害に遭ってサーバーが停止してから復旧するまでの3日間を紹介しました

WordPressは不正アクセスが多いらしいです

そのため、対策をして不正アクセスを防がなければなりません

「自分のサイトは関係ないだろう」「自分のサイトに不正アクセスしても何も得られないからしてこないだろう」と考えず、対策をしましょう

今回は、自分のセキュリティ設定の甘さから生じた話ですが、同じ状況に遭ってしまった誰かの参考になったら幸いです

自分ではどうしようもないと思ったら知識のある人にやってもらうのも良いでしょう

「ココナラ」はクリエイターへの制作依頼から個人のお悩みの解決までできる、スキルのオンラインマーケットです

最後に、復旧がとても大変だったので不正アクセスしてきた人間、絶対に許さない！！

にほんブログ村