こんにちはゲストさん。会員登録(無料)して質問・回答してみよう!

-広告-

締切り済みの質問

サーバーがハッキングされ続けていて困っています

趣味で個人的にWebサイトを運用しているのですが、ここ半年、定期的にハッキングされ続けていてとても困っています。レンタルサーバーはロリポップです。静的なサイトとWordpressを設置しています。

初めて被害にあったのは半年くらい前で、ショッピングサイトに誘導するようなサイトのHTMLファイルや関連ファイルがサーバーに多数設置されてました。
勝手に設置されたファイルは全て削除し、パスワード系は全て変更、Wordpressにはロリポップ推奨のセキュリティプラグイン(SiteGuard WP Plugin)を入れました。
さらに、IPによるFTPアクセス制限もかけました。

しかし、ハッキング被害はその後も続いており、ひたすらスパムファイルを多数設置してきます。今回は海外の輸送サービス?のような内容でした。
Wordpressの方は全く被害はなく、またすでにあるファイルの改ざんもありません。

ただ、気になるのが、今回はじめて私が設置していた「.htaccess」が勝手に削除されていました....
さらに、つい先程サーバーパスワードを変更したばかりなのに、今まさに自分がサーバーを見ている時に、スパム関係のフォルダが2つ、勝手に消えました....衝撃です。。

ひょっとして、フォルダを開いたら消えるようなプログラムがあったりするのかな?と思い、スパムフォルダを一度開いて閉じて、放置してしばらく様子を見ているのですが、今度は消えません。。
また、念のため、PCのセキュリティチェックを行いましたが(ESET)特に問題ありません。

なぜこんなことが起きるのでしょうか?
これは相手が私のサーバーを自由自在に扱える状態にあるということなんでしょうか??
IP制限をかけているのに、そんなことが可能なのでしょうか??
また、今後どうやって対策したらいいんでしょうか?

どうか教えてください!

投稿日時 - 2015-05-28 22:26:33

QNo.8984184

すぐに回答ほしいです

このQ&Aは役に立ちましたか?

0人が「このQ&Aが役に立った」と投票しています

-広告-
-広告-

回答(3)

ANo.3

ご利用の状況から、Wordpressに起因した脆弱性ではないかと思われます。WordPressの脆弱性については、膨大な数が報告されており、古いバージョンであれば、いくつかの脆弱性があり、そこからクラックされている可能性が高いと思います。
まずはWordPress本体およびプラグイン(特にプラグインが脆弱性を抱えやすい)を最新版にしてみることをお勧めします。
またWordPressを調べることができる脆弱性検査ツールがあります。そちらの購入を検討してみてはいかがでしょうか。年額6万円強で無制限の検査ができるそうです。

参考URL:http://penetrator.blue.co.jp/

投稿日時 - 2015-06-15 14:59:47

-広告-

ANo.2

WordPressでは、なにかデフォルト以外のプラグインやテーマなどを使っていませんか。WordPressによるサイトへの攻撃でもっとも多いのは、プラグインの脆弱性を使ったものです。公式プラグインでも脆弱性が発見されることがあるぐらいで、それ以外のものでは脆弱性が放置されたままのものも多数あります。使用しているテーマとプラグインを洗い出し、それらがすべて最新になっているか、また脆弱性が発覚していないか調べてみては如何でしょう。

また、データベースのプレフィクスをデフォルトのままにしているためにSQLインジェクション攻撃が可能となっている、というようなケース。更には、wp-config.phpが外部からアクセス可能になっているためデータベースアクセスのID/パスワードが抜かれている、というケース。adminユーザーがそのままだったり、管理ログインページにアクセス制限がかけられていないためにブルートフォース攻撃によりアカウントが乗っ取られている、というケース。以上のような攻撃が、WordPress利用サイトへの攻撃でもっとも多いのではないかと思われます。

データベースプレイクスの変更、wp-config.phpのアクセス権のチェック、adminの削除、ログインページヘのアクセス制限の設定、といったものをひと通りチェックしてみてはどうでしょう。WordPressは、非常に穴が多く、シロウトが自分でWordPressを導入すると瞬く間にハックされる、というのはよく耳にする話です。

ただ、「定期的にハッキングされ続けて」ということからすると、そうした技術的な問題だけでなく、ヒューマンファクター(人的要因)についても考えてみたほうがいいかも知れませんね。例えば知らないうちにロリポップのアカウントパスワードが漏れている、みたいな……。

ロリポップのサーバー自体がハックされているというのは、あのレベルのサーバー運営会社が半年間誰も気がつかず騒ぎにもなっていないというのはちょっと考えられないので、まずはあなたのWordPress利用環境と、貴方自身のセキュリティについて見なおしてみるしかないでしょう。

投稿日時 - 2015-05-29 08:25:32

お礼

回答ありがとうございます!提案して頂いたチェック項目をすべてチェックしてみました。

テーマ
→ブランクテーマ+カスタマイズで構築しています。ブランクテーマは2011年作の古いもので、それから特に更新されていないため、脆弱性がないとも言い切れません。自分でカスタマイズした部分についても100%完璧ではないと思います。

プラグイン
→すべて最新でしたが、中にはここ数年更新されていないものがあるので脆弱性がないとは言い切れません。

データベースのプレフィクス
→変更しています

wp-config.php
→400に設定しています

adminユーザー
→削除しています

管理ログインページ
→管理の都合上IPによるアクセス制限はかけていませんが「SiteGuard WP Plugin」を導入しておりでキャプチャ認証しています。

ロリポップのアカウントパスワードが漏れている
→定期的にログイン履歴を確認してますが特に問題ありません。今回のクラッキングの際にもロリポップ管理画面への不正アクセスはありませんでした。

以上、可能性があるとすればやはりテーマやプラグインの部分かなと思います。ただ、現実的に100%セキュリティが万全な状態にするのは、自分が是非を判断できないというのもあるので、やはり難しいのかなと...。

しかしながら、私のサイトは基本的には静的HTMLで構成されており、ブログの部分だけ別のディレクトリにWordpressを設置していて、Wordpress側には全く被害がなく(ファイルもすべてチェックしましたが改ざんありません)静的HTML側のディレクトリにのみ被害が出ています。

これでもやはりWordpressに起因する可能性ってあるのでしょうか?

ちなみに補足ですが、昨日被害状況を確認していて気付いたのですが、imagesやcssなどの誰もがよく使うような名前の付いたディレクトリに、スパムファイルが設置されていました。testとかかれているファイルが数日置きに設置されたりしていて、腹が立ちます。。

投稿日時 - 2015-05-29 10:10:42

ANo.1

つまり、サーバーをクラックされていますから、どちらかといえば相談者さんよりも、レンタルしているサーバーの問題です。

ロリポップに苦情を申し立て、問題が続くならレンタルサーバーを乗り換えることも検討するべきです。
アクセス解析のほか、FTPサーバーへの攻撃もされているかもしれませんから、そのあたりのログ解析をロリポップに依頼するとかしないと止まらないんじゃないでしょうか。

パスワードとかを変更しているということなので、どうも穴があるのはサーバー側だと思えてなりません。

投稿日時 - 2015-05-28 22:31:11

お礼

回答ありがとうございます!早速ロリポップへ問い合わせしました。

投稿日時 - 2015-05-29 10:06:26

-広告-
-広告-

あなたにオススメの質問

-広告-
-広告-