WordPressからWebサーバーに不正アクセスによる攻撃を受けた話

はじめて不正アクセスをされていろいろやられました。被害は少なかったですが復旧に少々時間を使いました。

サーバーの運営会社からの連絡で気付く

このブログを含めて、僕がWebサーバー上であれこれやっているのはネットオウルのスターサーバーというサービスを使ってやっています。

ネットオウルからメールで連絡が入りました。内容を要約すると、

• サーバーの負荷が異常に高い状態だった
• 調査したら不正なプロセスが多数稼働していた
• 国外からの大量のアクセスがあったり、不正なファイルが仕掛けられていた（バックドアの危険性も）
• ソフトウェアの脆弱性をついた攻撃によりログインパスワードを窃取された可能性大
• 不正なファイルを使用不可の状態にしたので駆除の対応が必要

といった内容でした。

心当たりがあったのがWordPress。当ブログのWordPressとは別に、試験用で新規にインストールをしたところでした。

試験用ということもあり動作がわかればいいということでセキュリティ系のプラグインは入れないままでした。そこにブルートフォース攻撃を受けたのではないかと推測します。

ubhというプラグインがインストールされていた

攻撃を受けたと思われるWordPressのプラグインディレクトリを見てみると、「ubh」というプラグインが勝手にインストールされていました。

調べてみると不正アクセスで入れられてしまうプラグインとして有名らしく、インストールされると些サイトが403エラーになるそうな。

サイトにはアクセスできましたが、デザインがだいぶ変になりました。こんな緑じゃなかったんですけどね。

ログインページにいくとなぜか言語が英語に変わってました。

ログインして中を確かめようとも思いましたが、不正なファイルがうようよいる状態ですので、あまりパスワードを入力したくないのでやめました。

moon.phpとsmall.php

ネットオウルから不正なファイルがあるディレクトリのリストをもらったので見てみることに。

moon.phpとsmall.phpというファイルがあります。しかもこのディレクトリだけではなくて、サブドメインの直下や主なディレクトリの下にこの２つが入れられていました。

バックドアを生成するプログラムのようです。ダウンロードして中身を見てみようかと思いましたが、使用を停止されていてダウンロードもできませんでした。パーミッションを変えればいけるかと思いますが、再活性化すると怖いのでやめておきました。

下記リンクにその詳細が書かれていますね。

ワードプレスサーバーの様々なところに増殖するsmall.phpマルウェア – ワードプレスの移行・修正・カスタマイズ・復旧のご依頼はWordpress Doctorへ | Blog

ワードプレスサーバーの様々なところに増殖するsmall.phpマルウェア 昨今拡大しているマルウェアであるsmall.phpについて解説いたします。 ワードプレスのサーバーの様々なフォルダに作成されるsmall.php このマルウェアは、サ...

wp-doctor.jp

取った対応

ネットオウルからの指示の元、取った対応は下記の通り。

• 不正ファイルの削除
• パスワード変更
• ソフトウェアのクリーンインストール
• スターサーバーのPHP環境設定で下記２つをオフにする
  • allow_url_fopen
  • allow_url_include

まずはmoon.phpやsmall.phpを含む、リストに載っていた不正ファイルを削除します。もし使用していないソフトやサブドメインがあれば、丸ごと削除していまうのも手です。

一つ注意点があり、スターサーバーの初期設定のFTPアカウントはpublic_htmlがルートディレクトリとなっており、この不正ファイルはそれよりも上層のディレクトリにもインストールされていました。FTPアカウントを追加して、最上層までアクセスできるようにしましょう。

その後はパスワード変更です。DBのパスワードも変える方が吉ですね。すべてのファイルを盗み見られたと仮定する方がいいです。

その後、CMSなどのソフトウェアがあればクリーンインストールを行います。ソフトウェアに必要なファイルについても改ざんされている可能性もありますしね。バックアップを取って、新しくインストールした後にアップロードしたファイルなどを戻しておきます。

アップロードに時間がかかりますし、個人的には仮のディレクトリを作成し、その中でインストールができたことを確認してからディレクトリ名を変更するという方法が簡単かつ安全かもしれません。

あとはネットオウルからの助言で、PHPの環境設定で「allow_url_fopen」と「allow_url_include」を無効にしておくとセキュリティ的に安全とのこと。

WordPressのセキュリティ設定

新規にインストールしてまだ人目についていないWordPressサイトなんて誰も狙わないだろうと油断するとやられてしまいます。

すぐにセキュリティ関係のプラグインを導入するべきでした。下記記事にまとめていますが、これらの対応を取っておけば無事に済んだかもしれません。

『WEB DESIGNING』2022年10月号のWordPressのセキュリティ対策をやってみた

(function(b,c,f,g,a,d,e){b.MoshimoAffiliateObject=a;b=b||function(){arguments.currentScript=c.currentScript||c.scripts;(...

www.iehohs.com

2022.11.15

あとお試しでいろいろいじるなら仮想環境上でやるのがベターなのかもしれません。

VirtualBoxにUbuntu Serverをインストールしてみた

職場でノートPCにUbuntu Serverをインストールした話を書きました。 スクショなしでの記事だったので、VirtualBoxでインストールの様子を再現したのを撮影して改めようということを書いていましたが、早速その機会が訪れました。 ...

www.iehohs.com

2023.05.12

あと今回のネットオウルの対応はありがたかったです。何か異常はないか監視してくれているんですね。

質問をしたら丁寧にお答えいただけましたし、サポートはメールだけということで不安は多少なりともあったのですが、今回をキッカケにしてかなり頼れるなと思いました。サンキュー、ネットオウル。

クラウド型高速レンタルサーバー【スターサーバー】

レンタルサーバーの【スターサーバー】は、高速・格安のクラウド型レンタルサーバーです。オールSSD＆nginx(エンジンエックス)を搭載した高速サーバー環境が月額138円(税込)から利用可能で、WordPressなどのCMSやWebサイトが快...

www.star.ne.jp