三年前のマルウェアが今頃ひっかかる

今はコロナ禍の影響でテレワークが続いている。
つまり家で仕事をしているわけだが、となると自宅の開発マシンはずっと電源がついている。
特に今は三つの仕事が重なってしまい、クソ忙しい毎日を送っている。
なので自宅の開発機も 24 時間つきっぱなしだ。

でもマシンはついていても、ボクがマシンの前から離れるときはある。
例えば食事をしている時や、仮眠をとっているときだ。

Windows は一定時間操作されていないと(もしかしたら、ただのスケジュールかもしれないが)、マルウェアなどに感染していないか自己チェックを行う。そしてふと自席に戻ってくると、Windows Defender からマルウェア発見のお知らせが!

まじか!?

なにか踏んじまったのか?

って思って見てみたら……。

おー。これはボクが三年前に対処した WordPress を改竄するマルウェアだ。
そのときの顛末は日記にまとめてある

で、この改竄された WordPress、一応念のためにバックアップとしてこの開発機にとっておいてあったのよ。この開発機には PHP は入ってないし、そもそも隔離してあるので大丈夫だろうと。そして三年後の今日になって今頃、Defender が反応したというわけだ。

もしボクが対処しているときに反応してくれていれば、もっと楽だったんだけどねぇ……。
まぁこういうのはなかなか即対応は難しいとは思うが。
ただ、上のサイトを見に行くと、去年の三月にはすでに情報は上がっていたようだ。なぜ発見が今になったのかは謎である。

amatsukam.jp サーバ、クラッキング事件の顛末

またまた 7 月中に書こうと思っていたのに、すっかり忘れてていた話題。
amatsukami.jp サーバは、知人の音楽団のサイトも運営しているっていうか、このサーバはいろんなサイトを運営しているのだが、今回はこの音楽団のサイトがクラッキングされたのでその点末を備忘録も兼ねて記しておこうと思う。

まず 5 月にウェブ担当者が変わり、その人は WordPress を普段使っている人だそうで、音楽団のサイトに WordPress をインストールし、使えるようにした。これ自体はすんなり移行できたようで、5 月中旬より新サイトがスタートする。

そして6 月下旬、事の発端は上記の音楽団を Google で検索すると Windows Free Download なんとかかんとかというのが表示されるようになる。また検索画面には「このサイトは改竄されている恐れがある」とも表示されていた。実際に音楽団のサイトにアクセスすると、違法ソフト(と思われる)のダウンロード サイトへリダイレクトされるようになった。

この時のボクの対応は、仕込まれたファイルだけ取り除くだけだった。
また FTP のパスワードを念のため変更し、 FTPS でしかアクセス出来ないようにした。
というのもこれで沈静化したからだ。サイトは正常に表示されたし、Google 検索の警告も消えた。
しかし、Google 検索での表示は相変わらず Windows Free Download なんちゃらのままだった。

それよりもボクは侵入経路の調査に手間取っていた。侵入経路が判明しない以上、どんなにサイトを治しても再び攻撃されるからだ。ボクは最初から FTP から侵入したと考えていた。しかしログファイルにはそれらしいものが残っていない(そんなことが可能なのか、ちょっと解らなかったが)。
そこで、この音楽団用 FTP のパスワードを知っている人全員に、それぞれが使っている PC をウィルスチェックしてもらった。すると、音楽団事務局の PC からわんさかとマルウェアが発見されたと報告が入る。しかしこの時ボクは渋谷に出向していたため、事務局が開いている時間に、事務局に直接行くことはできなかった。
とりあえず電話でウィルスの駆除を指示する。

そうこうしているうちに、7 月中旬、再びサイトが改竄される。この改竄は FTP 経由ではなかった。なぜなら新しい FTP アカウントはボクと、そしてその新しいウェブ担当者しか知らなかったからだ。マルウェアが検出された事務局の PC には新しい FTP アカウントは設定されていなかったのである。

そうかー、WordPress 本体も改竄されていたか……orz まぁ当然だよね(汗

DB 汚染も考慮し、ウェブ担当者には 0 から作り直してもらう事をお願いし、DB と WordPress をすべて新しくした。これが 7 月の終わり。以後、Google 検索結果も正常に戻り、改竄されることもなくなった。
事務局の PC は出向が終わってから調べに行くと、実に 14 ものマルウェアに犯されており、その中でも特に三つのマルウェアがパスワードを盗む系のものであった(マルウェア名もどこかに控えてあったはずなのだが、どこかにやってしまった)。
と言うわけで今回の顛末を時系列順に並べると、こんな感じである。

  1. 音楽団の事務局 PC がマルウェアに感染。FTP アカウントを盗まれる(改竄プログラムは WordPress に特化した仕組みを持っていたと思われる)。
  2. ウェブ担当者が変わり、システムが WordPress となる。
  3. 音楽団のサイトが FTP 経由で改竄される。このとき WordPress そのものも改竄される。
  4. ボクが FTP を塞ぎ、怪しいファイルを削除
  5. マルウェアが WordPress の更新機能を使って、再びサイトを改竄。
  6. WordPress 本体と DB を全て削除し、インストールし治す。
  7. 以後、改竄は起きていない。

いやはや、ネットの世界は自意識過剰でも、過剰でも何でもないということを思い知らされた事件であった。こんな弱小サイトなんか誰も相手にしないさなんて思っても、攻撃してくるのは機械だから無差別にやってくる。
ボク自身に大きな落ち度はなかったと思うが、最初の改竄の時の対応はお粗末だったと言える。
今後の教訓としたい。
下の写真は 8/21 のお昼に食べた酔壱やのごまぶっかけ。

丸亀製麺

今日は知り合いの音楽団のコンサートがあったので、それの裏方として行ってきた(去年の記事)。
楽器の搬入とか、そういうヤツ。
暑いので汗が心配ではあったが、舞台はエアコンが効いていたのでそんなに汗はかかずに済んだ。
しかし竹光ホールは相変わらず音が(ry

その時、お昼に食べたのが丸亀製麺だった。
丸亀製麺、人気だよねー。割と最近うちの近くにもできたんだけど、できてから数ヶ月はずっと行列ができてた。その後も土日のお昼時とかは未だに並びがでる。はぁ? って思う。だいたいどこにでもあるじゃん。並ぶくらいなら別の所に行くだろうと思うんだが……うーん、解らん。

丸亀製麺は讃岐うどんとしては中の下、下の上くらいだろうか?
ただねー、実は天ぷらが侮れないときがある。何年か前に食べたタケノコの天ぷらはうまかったなぁ。
まぁそんな思い出に浸りつつ入店。春ではないので、もちろんタケノコの天ぷらはない。
かき揚げとかおにぎりとかテキトーにつまんで肉うどんを食う。うーん、しょっぱい!

どうでもいいけどうちのサイトで丸亀製麺の記事って書いたことないのね(^^;
検索しても出てこなかった。あれか、特に書かなくてもイイ店なのか……??<ヲイ

第 23 回ユーオーディア賛美の夕べ

今日はコンサート当日である。朝 8:30 にオペラシティへ。そこで昨日乗せておいたプログラムを車から降ろし、フロントのロビーへ運ぶ。あとは設営とか。終わった後も、楽器の片付けや譜面台、椅子、聖歌隊が立つ舞台をかさ上げするやつ(なんて言うか知らないw)の片付け。
帰りにゴミや余ったプログラムなどを載せて帰った。

実際のコンサートは、今回は A 席だった。竹光ホールは中高音域が濁るのだが、A 席は高音に関しては特にそれはなかったように感じられた。中音はやはりごちゃっと集まってしまった感がある。ちなみに去年は S 席だったらしく、音質については文句はなかったようだw
まぁこんなのは聞く側のコンディションによるだろうから、アテにはできないけどね。

1607230904 1607230906