*

レンタルサーバが感染

公開日: : 最終更新日:2014/07/27 イデブログから移転しました。

XSERVERをもう4年借りているんですが、XSERVER側の機能を使ったファイルで感染し、一方的に僕のせいにされました

 

レンタルサーバがウイルス感染。 レンサバは感染しないものと思っていたので とんでもない目に逢いました。

また、十分起こりえることなので 自分のメモのためにも履歴残しておきます。

1.レンサバは 「DB、ディレクトリ、サブディレクトリ すべて削除しろ」 と言ってきた。 莫大な作業になる。

2.レンサバの中を見ると、ある特定のドメインの中に 怪しいファイルと怪しいディレクトリ(c)が作られていた。

3.レンサバ会社から 怪しいディレクトリの原因を特定でき、ちゃんと対処できたら 「特別対応ではございますが、Webアクセス凍結解除をいたします。」 と言われた。

4.このディレクトリは、レンサバのパネルから ZenCartをインストールしただけのことしかやっていない。 幸い再販もしていない。 =レンサバのZenCartインストールがおかしい、と特定できる。

5.ここで、 「レンサバのZenCartインストールがおかしい、と特定できる。」といえば レンサバは、Webアクセス凍結解除せず、ピーヒャラ屁理屈こねるのは、 目に見えている。

6.通常6時間で復旧、が常識。 すでに丸2日たっている。 これ以上まてないので ZenCartインストールし、それが原因。 http://d.hatena.ne.jp/sen-u/20110520/p3 ですべてディレクトリ削除し MySQLもZenCart関連は削除、と言っておいた。 *これは、大変屈辱的思いであった。

7.これで、いつ解除されるか、 さもなくば、されないのか、 レンサバの連絡待ち。 その後20:13にすべて復旧。

 

一言で言うと「お前の所の”自動インストール”ZenCartをインストールしたせいだぞ」

 

腹立ってしょうがなかったが、いまさら変われない。

 

 

以下、メールのやり取り。 ———-

—————–Fri, 13 Jan 2012 11:07:51 レンサバ サーバーアカウントパスワード再通知のお知らせ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ レンサバ サーバーアカウントパスワード再通知のお知らせ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 平素は当サービスをご利用いただき、誠にありがとうございます。 ******カスタマーサポートでございます。 パスワードを送信いたしますのでご確認ください。 ———————————————————— ■サーバーに関する情報 **サーバ関連情報 ———————————————————— ※セキュリティの関係上、今回発行されたパスワードは初回ログイン時に ご変更されることをお勧めいたします。 ※アカウント情報は管理ツールをご利用する上で非常に重要な情報です。 大切に管理していただきますようお願いいたします。 ――――――――――――――――――――――――――――――――――― ******では皆様に、より快適にホスティングサービスを ご利用頂ける様、日々努力していく所存でございます。 何かご不明な点、お気付きの点等ありましたら、 下記アドレスまでお問い合わせ下さい。 ―――――――――――――――――――――――――――――――――――

****** ホスティングサービス ◇URLほか情報 ―――――――――――――――――――――――――――― レンサバ ――

———————–Fri, 13 Jan 2012 11:11:19 ■重要■レンサバ お客様のサイトに対する不正アクセスについて *******会社 **様 平素は当サービスをご利用いただき誠にありがとうございます。 レンサバ カスタマーサポート担当 **と申します。

お問合せ番号 : **************** サーバーID:******(*********)

上記お客様のご利用のサーバーアカウント上に、不正なプロセスの動作、cronの設定 がなされている事を確認いたしました。不正アクセスが行われている可能性がございます。 被害拡大を防ぐため、緊急的にwebアクセスの凍結(webアクセスを行うと403エラーとなります)、 および、FTPアカウントのパスワード強制変更・追加FTPアカウントの削除を行わせて頂いております。 以下に詳細を記載いたしておりますので、必ずお目通しいただき、 ご対応くださいますよう、宜しくお願い申し上げます。 ▼不正アクセスの詳細について 先にも記載いたしましたが、お客様のご利用のサーバーアカウント上に、 不正なプロセスの動作、cronの設定がなされている事を確認いたしました。 不正アクセスが行われ、不正なファイルをアップロードされている危険性がございます。 簡易的にお客様のアカウント上のアクセスログの確認を行わせて頂きましたところ、 下記のように海外からのアクセスも多数見受けられました。

—————————————————————– ■******.comのログ(サウジアラビアからもアクセス) ***.***.*.** – – [13/Jan/2012:00:50:09 +0900] “GET /**.php HTTP/1.1” 200 53449 “-” “Mozilla/5.0 (Windows NT 6.1; rv:9.0.1) Gecko/20100101 Firefox/9.0.1” **以下ログの羅列

—————————————————————– お客様の身に覚えのない場合、下記の理由によりお客様のサーバーアカウントに 不正にアクセスされ、ファイルが改ざんされた可能性がございます。 —————————————————————– (1)お客様のPCがウィルスに感染した事によりFTPパスワードが流出した可能性 お客様がお使いのPCソフト(インターネットエクスプローラやAdobe Reader、 Adobe Flash Player)にて旧バージョンをお使いの場合に、 プログラムの脆弱性を突かれてウィルスに感染する事がございます。 ご参考: http://*********************** (2)お客様がサーバー上にアップロードしたプログラムの脆弱性を突かれた 事により不正なファイルをアップロードされた可能性 ※xoops等のような有名プログラムにて、脆弱性が残ったままの 古いバージョンのプログラムを使用し続けると、即時不正アクセスの 対象となってしまいます。 ご利用のプログラムは必ず最新のものへと更新頂く必要がございます。 自作のスクリプトをご利用されている場合は、セキュリティ面に問題はないか、 再度ご確認くださいますよう宜しくお願いいたします。 (3)お客様がお使いのFTPパスワードが単純な英単語の組み合わせなど、容易に 推測される文字列であり、パスワードを推測され、乗っ取られた可能性

—————————————————————– この度の不正アクセスは上記の可能性の中で、 (2)による改ざんの可能性が高いようでございます。 またいずれの場合にも、お客様のPCや運用中のサイトのセキュリティ対策は お客様ご自身にて管理を行って頂く責任がございます。 不正アクセスをそのままにしておきますと、お客様のサーバーアカウント上で 大量のメール送信やフィッシングサイトの開設等が行われる可能性がございます。 大量メール送信は、各種プロバイダーにSPAMサーバーとして認定される場合 がある等、該当サーバーに対してのリスクが非常に大きく、 他の利用者様に多大な迷惑がかかってしまうものでございます。 上記の理由により、一旦WEB接続を制限し、FTPのみの接続に制限を行わせて いただきました。 また、(2)の可能性が高いとご案内いたしておりますが、 お客様のFTPパスワードが漏れている可能性がございます。 そのため、FTPパスワード(サーバーIDのパスワード)の強制変更、 および追加FTPアカウントの強制削除をいたしております。 こちらのメールと併せて、ご登録メールアドレス宛てに初期FTPアカウントの パスワードの通知を行いましたので、大変お手数ではございますが、 ご確認の上、以下の手順によりサーバー内の削除・再設定をお願いいたします。

———————————————————————

1.お客様のPCにてウィルスソフトを最新のものにしていただき、 ウィルスチェック・駆除をします。 ※ お使いのPCがウィルスに感染した事により、 FTPパスワードが盗まれた可能性もございます。 必ずウィルスチェックをしてください。

2.お客様のPCにてWindows UPDATEやその他お使いのソフトの バージョンアップなど、ご利用環境を最新のものにしてください。 (Adobe Reader、Flash Playerなどのバージョンアップも併せてお願いします) ※ 昨今ではAdobe Readerの脆弱性を突いたウィルスの流行がございました。 上記ソフトをお使いの場合、必ずバージョンアップをしてください。 また、Javascriptの設定は必ずOFFへとお切り替えください。

3.必要に応じてFTPパスワードを変更します 初期FTPアカウントのパスワード(サーバーIDのパスワード)は弊社にて 変更いたしましたが、必要に応じてお客様が覚えやすいパスワードへと 再度ご変更ください。 単純な英単語の羅列ではなく、数字などを絡めたわかりづらいものへと ご変更ください。 「サーバーパネル」→「パスワード変更」より変更が可能です。 インフォパネルのパスワードではございませんのでご注意ください。 尚、追加FTPアカウントにつきましては、再度サーバーパネルの 「FTPアカウント設定」より、以前とは異なるパスワードをご入力の上 追加を行ってくださいませ。 4.サーバー上のファイルを一度全て削除します。 「サーバーパネル」→「ドメイン設定」より、現在設定されている全ての ドメインの追加設定を削除してください。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

また、初期ドメインフォルダに関しましては、FTPにて削除を行う必要があります。

※ 削除が行えないといった場合、弊社にて全データの削除を行わせて頂きます。 その旨お知らせくださいませ。 ※ ドメイン設定の削除により該当ドメインに関するwebデータ、 メールデータが全て削除されます。 必要なメールはあらかじめ受信してくださいますようお願いいたします。 改ざんされたhtmlファイル等以外にも、悪意のあるプログラムを設置されている 可能性がございます。大変お手数ですが、FTPにてサーバーアカウント上の 【全てのファイル】を一度削除していだだきますようお願いいたします。 FTPパスワードが漏洩している可能性があるため、FTPにてアクセスできる フォルダ上のファイルは念のために全て削除して頂く必要がございます。 ※ cronを指定している場合はcronの登録削除をお願いいたします。 5.MySQLデータベースを全て削除します。 「サーバーパネル」→「MySQL設定」より、 現在設定中のMySQLデータベースを全て削除してください。 ※こちらも必要に応じてバックアップデータをお取りください。

6.(4)(5)のご対応をいただきましたら、サポートまでお知らせください。 webアクセス凍結解除お手続きを行います。 お手続き完了は、(4)完了のご連絡をサポートが確認しましてから 早ければ当日中、お時間がかかる場合にも一両日中には完了いたします。 【!】お客様からのご連絡は外部フリーメールやプロバイダーのメールなど、 (4)をご対応後も受信可能なメールアドレスからお願いいたします。

7.(6)のwebアクセス凍結解除完了後、サーバーパネルからのドメイン設定追加、 メールアカウント設定、FTPによるデータアップロードなどを行ってください。 ※CGI等お使いの場合はパーミッションの変更にご注意ください。 ※ドメイン設定の追加反映まで数時間程度お時間がかかります。 【!】ご注意ください 現在ホームページにてご利用のプログラムについて、 脆弱性が存在しないかどうか必ずご確認ください。 ※先にお伝えしておりますアクセスログも不正アクセス原因特定の材料となります。 アクセスログおよびご利用のプログラムの詳細をご確認ください。 有名プログラムにて脆弱性が存在する旧バージョンをご利用でないか、 またプラグインも含めて脆弱性に関するニュースが流れていないかなど、 ご利用プログラムがセキュリティ上問題がないか、 常にご確認くださいますようお願いいたします。 ※脆弱性が存在するプログラムをそのまま利用されますと、 第三者に容易に改ざんされてしまいます。 また、CMSを利用せず、お客様にて独自に設置したPHP上でサニタイジングを適切に 実施していない、変数の内容をそのまま実行している等の場合、該当PHPに脆弱性が 存在し任意のコマンドが実行可能なケースがございます。 こちらについてもご確認くださいますよう、宜しくお願い致します。 8.FTP上にphp.iniを設置して頂き、以下の設定を行って頂く事を強くお勧めします。 PHP 5.1をご利用の場合 allow_url_fopenをOFFにご設定ください。

※デフォルトではONになっております。 allow_url_fopenをOFFにする事で、 プログラム内から外部ファイルの読み込みや実行を禁止します。 PHP 5.2または5.3をご利用の場合 allow_url_includeをはOffにご設定ください。 ※デフォルトではOFFになっておりますので、お客様にて変更を行われている場合のみ ご対応ください。 allow_url_includeをOFFにする事で、セキュリティリスクの高い関数を禁止します。 不正アクセスによる改ざんの原因として、不正に外部プログラムを実行させる脆弱性に 起因する場合が多くございます。Offとする事で万一プログラムに脆弱性があった場合でも 回避できる可能性が高まります。セキュリティ対策として、Offにする事をぜひ推奨します。 尚、php.iniの設定は、サーバーパネルの「php.ini設定」より、 簡単に設定・編集が可能でございます。

——————————————————————— 大変お手数ではございますが、何卒ご対応の程宜しくお願い申し上げます。

◆本内容と関連するお問い合わせの際は 必ず『お問い合わせ番号:****************』と『会員ID』『サーバID』を本文に入れて返信してください。 尚、弊社では「よくある質問」をご用意いたしております。 お問い合わせの際には、上記「よくある質問」をご確認いただきました後、 弊社サポートまで御連絡くださいますようお願い申し上げます。 「よくある質問」ご確認後も依然として何かご不明な点や お気付きの点等ございましたら、 下記アドレスまでお問い合わせ下さい。 私からの質問 ———————–Fri, 13 Jan 2012 18:58:24 Re: ■重要■レンサバ お客様のサイトに対する不正アクセスについて お問合せ番号 : **************** > ******.comのログ(サウジアラビアからもアクセス) ******.comのドメインは、全部削除しました。 それ以外のドメインは、 これで、対処終了にしてもらえないですか。 貴社の言う通りにすると膨大な作業になります。 1.私のパソコンは、セキュリティソフトできれいになっています。 2.次のドメインは、すぐ開通させないとなりません。 ****.com ****.info よろしくお願いします。

———————— ————————Fri, 13 Jan 2012 20:33:17 レンサバ カスタマーサポート *******会社 **様 平素は当サービスをご利用いただき誠にありがとうございます。 レンサバ カスタマーサポート担当 **でございます。 お問合せ番号 : **************** ご返信いただきありがとうございます。 恐れ入ります、この度の不正ファイル設置等に関して、 【原因の調査】は行われておりますでしょうか?

例:●●ドメインに設置したWordpressのプラグインにおいて、 脆弱性が存在する旧バージョンを使用していた 例2:●●ドメインで利用している●.phpにおいて サニタイジングができておらず、 任意のファイルを設置される踏み台となってしまった 上記例のように原因が明確で、 なおかつ「******.com」ドメインに原因が存在する場合、 特別対応ではございますが、Webアクセス凍結解除をいたします。 しかしながら現時点において原因となったドメインが 明確でない場合、大変お手数ですが サーバーアカウントの全削除を行っていただいたうえでの Webアクセス凍結解除となります。 脆弱性が存在するプログラムをそのままにした状態で Webアクセス凍結を解除した場合、 再度不正アクセスの被害に遭う可能性がございます。 このような事情から、上記対応をいたしておりますこと、 ご理解くださいませ。 以上、何卒よろしくお願い申し上げます。

———————— 私からの対処と依頼

————————Sun, 15 Jan 2012 12:47:03 Re: レンサバ カスタマーサポート お問合せ番号 : **************** 会員ID:**** サーバID:****** 以下内容にて対処いたしました。

Webアクセス凍結解除よろしくお願いします。 >なおかつ「******.com」ドメインに原因が存在する場合、 >特別対応ではございますが、Webアクセス凍結解除をいたします。

1.******.comは、一言で言うと「ほっぽらかして」おりました。 10ヶ月前に、取得後Zencartをインストールし、 そのままにしてありました。

2.原因は「******.com」ドメインに存在する事がわかりました。 http://d.hatena.ne.jp/sen-u/20110520/p3

3.ファイルを見ると、確かにあやしいファイルが、 ******.comの中にありました。 ******.comの中は、すべて削除済みです。 Zencartをインストール時作成したMySQLデータベース(ZC2)も削除済みです。

4.ちなみに私のPC(アップロード側)は ウィルスソフトを最新のものにし、スキャンし異常がないのは確認済みです。

5.******.comドメインも削除済みです。

———————— ————————Sun, 15 Jan 2012 20:13:20 レンサバ カスタマーサポート ** 様 平素は当サービスをご利用いただき誠にありがとうございます。 レンサバ カスタマーサポート担当 ***と申します。 お問合せ番号 : **************** お忙しい中ご連絡いただき恐れ入ります。 ドメイン「******.com」内のデータが削除されていることを 確認いたしましたので、特別対応といたしまして WEBアクセスの凍結を解除いたしました。 お手数ではございますがお客様側でもご確認くださいますよう 何卒よろしくお願い申し上げます。 なお、万一ではございますがまた同様の不正なプロセス等が 確認された場合、全ドメインの一端の削除等の措置を 行っていただかざるを得ないことになりますので ご注意くださいますようお願い申し上げます。 以上、何卒よろしくお願い申し上げます。 ご不明な点がございましたら、気軽にお問い合わせください。

関連記事

phpのバージョンアップ

何度かトライしてやめてた、PHP5.2から5.3.8へのバージョンアップ。 今日アキバ行ったのも、

記事を読む

WordPress3 サイト構築スタイルブック その1

第六章を2,3日かけて、しっかり勉強する予定。 理由は、 1.他のサイトに使えそうだから。

記事を読む

WordPress3を再インストール

所要時間:30分 1.Localhost環境でWordpress再インストール 理由:サーバ(x

記事を読む

localhostにインストールする時

wp-config.php を以下のように直接編集する。 編集する場所は、'*****'の部分。

記事を読む

現時点でIE9はβ版

現時点でIE9はβ版。β版は、言葉では知っていたが、意味が初めて身をもってわかったかもしれない。

記事を読む

phpMyadminが表示されない。

いくつか理由が考えられますが、私の場合は以下でした。 メッセージ:mysql 拡張をロードでき

記事を読む

WEB集客講座2011 第一回

WEB集客講座2011 第一回 以下私がとったメモです。 --基礎編-- 1.YahooとGo

記事を読む

今まで悩んでいた部分が少し解決

私はデータベースのプログラム屋  ダッシュボードで指定した項目が、どのテーブルのどのフィールドに入っ

記事を読む

All in One SEO

ブログのドメイン引っ越したらアクセスが異常に少ない。 All in One SEOのオプション

記事を読む

Windows10(x64)に、Apache2.4(x64)、MySQL5.7(x64)、MyCDBC(x86)、PHP 7.1.10、OfficeProffesional2007(x86)をインストールする

これは僕自身のメモです。 ノートパソコンに上記のものをインストールす

XserverでのMySQLからMariaDB

これは自分のメモです。 Xserverでは自動的にMySQLからMa

複数の引数を渡す方法

これは僕のメモです。   <?PHP

phpmyadminで編集できない時の対応

これは僕のメモです。 phpmyadminで編集・コピー・削除が

CSSの変更をChromeにすぐ反映させる方法

これは、僕自身のメモです。   『スーパーリロー

→もっと見る

PAGE TOP ↑