amatsukam.jp サーバ、クラッキング事件の顛末

またまた 7 月中に書こうと思っていたのに、すっかり忘れてていた話題。
amatsukami.jp サーバは、知人の音楽団のサイトも運営しているっていうか、このサーバはいろんなサイトを運営しているのだが、今回はこの音楽団のサイトがクラッキングされたのでその点末を備忘録も兼ねて記しておこうと思う。

まず 5 月にウェブ担当者が変わり、その人は WordPress を普段使っている人だそうで、音楽団のサイトに WordPress をインストールし、使えるようにした。これ自体はすんなり移行できたようで、5 月中旬より新サイトがスタートする。

そして6 月下旬、事の発端は上記の音楽団を Google で検索すると Windows Free Download なんとかかんとかというのが表示されるようになる。また検索画面には「このサイトは改竄されている恐れがある」とも表示されていた。実際に音楽団のサイトにアクセスすると、違法ソフト(と思われる)のダウンロード サイトへリダイレクトされるようになった。

この時のボクの対応は、仕込まれたファイルだけ取り除くだけだった。
また FTP のパスワードを念のため変更し、 FTPS でしかアクセス出来ないようにした。
というのもこれで沈静化したからだ。サイトは正常に表示されたし、Google 検索の警告も消えた。
しかし、Google 検索での表示は相変わらず Windows Free Download なんちゃらのままだった。

それよりもボクは侵入経路の調査に手間取っていた。侵入経路が判明しない以上、どんなにサイトを治しても再び攻撃されるからだ。ボクは最初から FTP から侵入したと考えていた。しかしログファイルにはそれらしいものが残っていない(そんなことが可能なのか、ちょっと解らなかったが)。
そこで、この音楽団用 FTP のパスワードを知っている人全員に、それぞれが使っている PC をウィルスチェックしてもらった。すると、音楽団事務局の PC からわんさかとマルウェアが発見されたと報告が入る。しかしこの時ボクは渋谷に出向していたため、事務局が開いている時間に、事務局に直接行くことはできなかった。
とりあえず電話でウィルスの駆除を指示する。

そうこうしているうちに、7 月中旬、再びサイトが改竄される。この改竄は FTP 経由ではなかった。なぜなら新しい FTP アカウントはボクと、そしてその新しいウェブ担当者しか知らなかったからだ。マルウェアが検出された事務局の PC には新しい FTP アカウントは設定されていなかったのである。

そうかー、WordPress 本体も改竄されていたか……orz まぁ当然だよね(汗

DB 汚染も考慮し、ウェブ担当者には 0 から作り直してもらう事をお願いし、DB と WordPress をすべて新しくした。これが 7 月の終わり。以後、Google 検索結果も正常に戻り、改竄されることもなくなった。
事務局の PC は出向が終わってから調べに行くと、実に 14 ものマルウェアに犯されており、その中でも特に三つのマルウェアがパスワードを盗む系のものであった(マルウェア名もどこかに控えてあったはずなのだが、どこかにやってしまった)。
と言うわけで今回の顛末を時系列順に並べると、こんな感じである。

  1. 音楽団の事務局 PC がマルウェアに感染。FTP アカウントを盗まれる(改竄プログラムは WordPress に特化した仕組みを持っていたと思われる)。
  2. ウェブ担当者が変わり、システムが WordPress となる。
  3. 音楽団のサイトが FTP 経由で改竄される。このとき WordPress そのものも改竄される。
  4. ボクが FTP を塞ぎ、怪しいファイルを削除
  5. マルウェアが WordPress の更新機能を使って、再びサイトを改竄。
  6. WordPress 本体と DB を全て削除し、インストールし治す。
  7. 以後、改竄は起きていない。

いやはや、ネットの世界は自意識過剰でも、過剰でも何でもないということを思い知らされた事件であった。こんな弱小サイトなんか誰も相手にしないさなんて思っても、攻撃してくるのは機械だから無差別にやってくる。
ボク自身に大きな落ち度はなかったと思うが、最初の改竄の時の対応はお粗末だったと言える。
今後の教訓としたい。
下の写真は 8/21 のお昼に食べた酔壱やのごまぶっかけ。

CyberDuck とか BD ドライブとか

CyberDuck、再導入

ただの雑談。
仕事で SFTP を使う必要が出てきて、クライアントをどうするか悩む。SFTP というのはファイルを転送する FTP という仕組みを暗号化する方法の一つ。FTP は暗号化されずにデータやユーザ名とパスワードをやりとりするため、経由する経路中にユーザ名とパスワードが漏れてしまう。
そこで SSH というもので FTP を実現させて暗号化する。
実に解りにくいのだが、ボクが普段使っている FTP を暗号化する方法は FTPS で、こちらは SSL を使う方法。S の位置が違う(笑)。
なので FTPS のクライアントは持っているが、SFTP のクライアントは持っていなかった。まぁ、FileZilla とか WinSCP あるんだけど、ボクは CyberDuck というのを前に一度使っていたので、また入れてみる
CyberDuck は Mac 版が元で、Windows 版はおまけみたいなもので、前に使っていたときはけっこうバグが多くてよく飛んだんだけど、今回入れてみた感じだとなかなか安定して動いている。
いままでずっと NextFTP を使っていたんだけど、NextFTP は SFTP に対応していないし、ちょっとインターフェースが古いなぁと思っていたので、これを機に CyberDuck をメインにしてみようともう。さっそく 3000 円ほど寄付した。

BD ドライブのトレイが開かない……

自宅の開発機は BD ドライブなんだけど、前々から 2 回 Open ボタンを押さないとトレイが開かなかったのね。何がいけないのかよくわかんないんだけど。で、ついに Open ボタンを何度押しても開かなくなった……orz
なんか動作しているような音はするのね。で、何かに引っかかっているのか何か、空かなくて、動作音が止まる。
何十回も押してたら開いた。
一度開くようになると、以後は普通に開くが、しばらく使わないでいるとまた開かなくなる。
最悪は強制イジェクトの穴で開けることも。
うーん、どこが悪いんだろうなぁ……。

写真は西東京市の空。なんか雲の張り方が面白かったので。

1504192334

雑談色々

rural_am00f
今日は特に大きなトピックがないので、箇条書きっぽく綴ります。
深夜、ちょっと作業の合間に amatsukami.jp サーバの FTP のログを見てたら、けっこう辞書アタックが来ててびっくりした。下手したら 24 時間やってることも。まぁ BOT だから時間なんて関係ないか。とりあえず 1 単語のパスワードがないかチェックした。最近は回線が速くなってるし、辞書アタックしやすいよね。
パスワードはランダム文字を使うようにしているんだけど、amatsukami.jp を使っている他の人たちは大丈夫かなぁと思いつつ……。

あとサーバの話ついでに、amatsukami.jp のバックアップ用 HDD が一つ逝った。この HDD でバックアップしていた内容は、別のもっと容量の大きな HDD にバックアップをとるようになったので、言わば使っていないに等しい HDD なんだけど……うーむ。まぁこれを機に捨てるかー。
ただバックアップ HDD は今、いろんな HDD に分散しちゃってるから、まとめたいんだよねー。4TB を 4 個ぐらいかってきて。でも、今、お金ないよー。

messenger
Windows Live Messenger が今年の 3 月でサービス終了する。で、Messenger を起動していると新しいバージョンがありますって表示されるのね。え、もうサービス終了するのに、バージョン・アップするんだ? ってクリックしたら、Skype 6.1 が落ちてきたwww ちょwww バージョンアップ違うしwww もうちょっと表現変えた方が(汗)。

temp
そして、気温がすごかった。なんと 4 月並みの陽気だそうで、天気予報では最高気温 20 ℃とか出ていた。すげー。汗ばむくらいの陽気だったよ。

いろはサントラ
最後に、久々に「いろは」のサントラがヤフオクに出ていた。さすがに万は越えなかったが、売値の 3 倍で落札されていた。 すごいなぁ……。