たにーです。
この記事では、WordPressがハッキングされGoogleから「ソーシャルエンジニアリングコンテンツが検出されました」というメールが届いたときの対処法をお伝えします。
多くの人は「ハッキングなんて自分には関係ない」と思っていますが(僕もそのうちの一人だったのですが…)、ハッキングは誰にでも起こり得るものなのです。
まずはハッキングされない対策をし、もしされてしまった場合は以下の内容を参考にしてみてください。
ソーシャルエンジニアリングコンテンツ検出の実例:その1
先日、Googleから以下のようなメールが届きました。
ソーシャルエンジニアリングコンテンツが検出されたURLの記載が。
サーチコンソールを使うことで不正なページを特定することができるのですが、今回は対応を焦ってこのプロセスをすっ飛ばしてしまいました。
この記事の中盤で紹介している別のハッキング事例については、サーチコンソールを使って不正ページを特定していますので、ぜひそちらもご覧ください。
では、続けていきます。
慌ててWordpressのダッシュボードにログインしてみたところ、知らないプラグインが勝手にインストールされていました。
とりあえずその不審なプラグインを削除。
すべての場所からのログアウト、WordPressやテーマ・プラグインの更新、パスワードの変更などをおこないましたが、時間の関係でFTPを使ってのファイルの確認まではせず。
ひとまずこれだけをやって、いったん仕事に戻りました。
かなり焦っていたので、画面キャプチャーをし忘れてしまいすみません。
で、ほどなくしてから僕の使っているエックスサーバーから以下のようなメールが。
第3者からこのサイトがフィッシングサイトであるという報告があったとのこと。
で、よく見るとサイトへの緊急アクセス制限を実施したと書いています。
「ん?アクセス制限?」と思いながら再びサイトにアクセスしてみると…。
「えー!?うそーん!」
なんと、サイトにアクセスできなくなっているではありませんか!
しかも、アクセス制限はドメインに対しておこなわれているため、WordPressのダッシュボードにすら入れず。
で、改めてメールを読み込んでいくと、アクセス制限についての詳細が記載されていました。
エックスサーバーのほうでセキュリティ調査をおこなってくれたらしく、その際に不正なファイルが検出されたとのこと。
[.xleet.php]というファイル名で、どうやらこのファイルが悪さをしているようです。
すぐにエックスサーバーにログインし、ファイル管理ページのFTPソフトで調べてみたところ、ありました!
ダウンロードしてファイルを調べてみようと思ったところ、セキュリティソフトが反応しました。
トロイの木馬、完全なウィルスです。
さらに調べてみると、このファイル以外にもまったく心当たりのない、いかにも怪しげなフォルダやファイルがいくつか設置されていました。
さらにフォルダを開いてみると…。
さらに怪しいファイルが…。
不正アクセス:2つの原因
エックスサーバーから送信されたメールには、不正アクセスの2つの根本原因が書かれていました。
1.セキュリティに問題のある致命的なバグや脆弱性の悪用
今回設置されたプログラムが「どんなコマンドでも実行可能」なプログラムであった場合、このプログラムを経由して、不正なファイル設置やコマンドの実行ができます。
2.サーバーやサイト等のアカウント情報の流出による不正なFTP接続
FTP操作によるファイルの改ざんはもちろん、不正なプログラムを設置することで「どんなコマンドでも実行」できます。
WEBアクセス制限を解除する方法
エックスサーバーによるアクセス制限を解除するには、「ドメインの初期化」をおこなう必要があります。
サーバーパネルでドメインの初期化をおこなうことにより、アクセスの凍結が自動的に解除され、ドメインへのアクセスが可能になるということです。
ただ、初期化にあたっては、この不正ファイルだけでなくドメイン上にあるすべてのファイルを削除しなければなりません。
この際、データベースの初期化や削除はなく、WEB領域に設置されたファイル(画像・プログラム・設定など)が削除対象です。
なので、必要なデータはバックアップを取ったうえで初期化をおこないましょう。
アクセス制限からサイトを復旧する手順
凍結されたサイトの復旧は、以下の手順でおこないます。
エックスサーバーに記載されていた復旧手順を記載しますので、この手順に沿っておこなってください。
1.PCのセキュリティチェック
PCがウィルスに感染していないかをチェックします。
ウィルスソフトを最新版に更新して、コンピューターの完全スキャンをおこなってください。
今回の件については、ウィルスの感染ではなくプログラムの脆弱性が原因の可能性が高いのですが、念のためセキュリティチェックをおこなっておくに越したことはありません。
2.プログラムやソフトウェアのアップデート
Windows Update・Adobe Reader・Flash Playerなどのソフトウェアについても、最新版にアップデートしておきます。
Windows Updateについては頻繁におこなわれるので、自動更新を設定しておくと便利です。
3.ドメインの初期化
ウィルスチェック&アップデートが完了したら、ドメインの初期化をおこないます。
繰り返しになりますが、初期化をする前に必要なデータについてはバックアップをおこなっておきましょう。
エックスサーバーのドメイン初期化の手順
エックスサーバーのドメイン初期化の手順は以下の通りです。
エックスサーバーのサーバーパネルにログインし、「ドメイン設定」をクリック。
初期化したいドメインの「初期化」ボタンをクリック。
任意の処理方法にチェックを入れ、「確認画面へ進む」をクリック。
今回は、サイトを初期化するために「ウェブ領域・設定の初期化」を選択しました。
詳細が表示されるので、間違いなければ「実行する」をクリックしてください。
「処理が完了しました」と表示されれば、初期化は完了です。
初期化したドメインに、新たにワードプレスをインストールして運用を開始します。
4.FTPソフト等によるデータのアップロード
ドメインの初期化が完了すれば、ドメインへのアクセス制限が解除されます。
FTPソフト等でデータをアップロードし、サイトを復旧していきましょう。
なお、アップロードするデータはハッキングされる前のクリーンなデータでなければなりません。
先ほど、初期化をする前にバックアップしてくださいとお伝えしましたが、もしこのバックアップデータが汚染されていたら、また同じことの繰り返しになってしまいます。
不正アクセス前のバックアップデータがあれば、それを使うのがベストです。
直近のクリーンなバックアップデータがない場合は、エックスサーバーからバックアップデータを提供してもらうことができます。
エックスサーバーでは1週間前までのバックアップデータを保存してくれているので、有償にはなりますが(5000円)、そのデータを使って復旧をおこなってください。
もし汚染されたデータをアップロードして同じことが起こってしまった場合、さらなる制限を実施する可能性があるということなので、アップロードするデータには細心の注意を払いましょう。
5.プログラム・テーマ・プラグイン等を最新版にアップデート
WordPress、テーマ、プラグイン等を最新バージョンにアップデートします。
旧バージョンは脆弱性も高いので、更新できるものはすべて更新しておきましょう。
以上で、サイトの復旧作業は完了です。
ソーシャルエンジニアリングコンテンツ検出の実例:その2
ちなみに、上記ドメインの復旧作業をおこなっていたさなか、何とまた別のドメインがハッキング被害にあってしまいました….。
例のごとく、Googleから以下のようなメールが送信されてきたのですが、今度は真っ赤な警告の帯が。
サイトの検索順位が下げられ、Google chromeなどのブラウザで警告が表示されるようにされているとのことです。
また何やら怪しいURLが記載されています。
どうやら、このURLからフィッシングされているらしい。
サーチコンソールでハッキング状況を確認
今回は、サーチコンソールで不正使用されているページを特定してみます。
サーチコンソールにログインすると、以下のように「セキュリティの問題:1件の問題を検出しました」と表示されているので、「レポートを開く」をクリック。
「不正なページ」をクリック。
不正なページのURL一覧が表示されます。
試しに、最上部にある[…/LinkedIn/checkpoint/]にアクセスしてみると…。
うわぁ…IDとパスワードが記憶されていて完全にフィッシングされています。
「Linkedin」っぽいですけど、URLは「Linkedln」で全然別物。
これは、プラグインとはまた別のファイルなので、サーバーから直接ファイルを削除しなければなりません。
エックスサーバーのFTPソフトからファイルを削除
ということで、エックスサーバーのFTPソフトからファイルにアクセス。
このようなファイルは基本的に「Public_html」に格納されているので、このフォルダを開いてみます。
すると…ありました。
「Linkedln」のフォルダが。
試しに、このフォルダを開いてみます。
出てきました、checkpoint。
さらに開いてみましょう。
これは、完全にアウトなやつです。
ということで、この「Linkedln」のファイルを削除しましょう。
チェックボックスにチェックを入れ、「ファイルの削除」をクリック。
ファイルの削除が完了しました。
他にも怪しいファイルがあるかもしれませんが、ひとまず最大の原因らしきファイルを削除したので、次はWordPressにログインしてサイトを調べてみます。
WordPressのダッシュボードから不審なプラグインを削除
サイトにログインしようとダッシュボードにアクセスしたところ、以下のような真っ赤な画面が。
「詳細」をクリックし、「安全でないこのサイト」のリンクをクリックすると、ダッシュボードにログインすることができました。
ダッシュボードにログインしたら、まず不審なユーザーが登録されていないかチェックします。
メニューバーにある「ユーザー」→「ユーザー一覧」をクリック。
もし、不審なユーザーが登録されている場合は削除してください。
次に、画面右上にある「プロフィールを編集」をクリック。
「アカウント管理」の欄にある「他のすべての場所でログアウト」をクリック。
そして、必要であればパスワードも変更しておくといいですね
で、改めてダッシュボードを確認してみると、「UBH」なる全くまったく身に覚えのないプラグインがインストールされているではありませんか。
クリックすると、「United Bangladeshi Hackers」などと書いてある。
完全にハッキングされていますね…。
さらに、他の項目もクリックしてみます。
「UBH Console」をクリックすると、怪しいコマンド入力画面が。
「UBH Uploader」をクリックすると、怪しいファイルアップロード画面が。
概要メッセージに「happy hacking」と書かれていますが、ハッキングのために使うプラグインなんでしょうか。
試しに、「プラグインのサイトを表示」をクリックしてみると…。
完全に怪しい、というかアウトなやつです。
これ以上クリックしてまた変なのに感染してもイヤなので、ひとまずこれで閉じます。
とりあえず、この「UBH CSU」という怪しいプラグインを停止してみることに。
そして、プラグインを削除します。
これで、ひとまず手動での削除は完了です。
ウィルス(トロイの木馬)を発見
変なファイルとサイトにアクセスしたので、念のためパソコンの完全スキャンをやってみたところ、案の定ウィルスを発見。
ブラウザ(Google chorome)のキャッシュファイルに存在していました。
作業をしていたのはMacbook Air11インチのサブ機ですが、つい最近ウィルス検査をやったばかりでそれから使っていなかったので、今回の件でウィルスを引っ張ってきたのはほぼ間違いないです。
ウィルスは、トロイの木馬。
といっても、トロイの木馬が仕込まれたファイルが検出されただけで、コンピューターが感染しているわけではないのでご安心を。
ファイルを実行さえしなければ大丈夫なので、特に問題はありません。
怪しいファイルやサイトにアクセスしたら、一応ウィルスチェックをしておくことを強くおすすめします。
あなたも気を付けてくださいね。
[amazon asin=”B07G8J28NP” kw=”カスペルスキー セキュリティ (最新版) 3年 5台版 Windows/Mac/Android対応”]
ちなみに、こういう特に問題のないファイルの場合、ウィルスセキュリティソフトによってはあえて通知を出さないように設定されていたりします。
不必要にユーザーを不安にさせないための配慮です。
もし感染ファイルを実行しようとした場合には、最初にご紹介したようにきちんと警告をしてくれるので安心してください。
僕が使っているカスペルスキーは、高機能でコスパがいいのでおすすめです。
30日無料で使えるので、ぜひ試してみてください。
プラグインでハッキング・マルウェア・ウィルス感染チェック
ただ、これらの他にも不正なファイルやプログラムを仕込まれているかもしれません。
正直、僕のようなプログラミング知識に乏しい人間が、そのようなファイルやプログラムを特定するのは不可能です。
なので、ハッキングやマルウェア、ウィルス感染をチェックしてくれるプラグインを使い、不審なファイルやプログラムがないかチェックします。
今回使わせていただいたのは、ワードプレスドクターというプラグインです。
無料でハッキング・マルウェア・ウィルス感染をチェックでき、しかも駆除までしてくれます。
さらに、ハッキング対策などの高度なセキュリティー向上機能まで使えるという優れもの。
以下のページにアクセスすれば、プラグインのファイルがダウンロードできます。
プラグインのインストールに関しては、以下のページをご参考ください。
プラグインをインストール→有効化してスキャンしてみたところ、「このサイトにマルウェアは見つかりませんでした」という表示が。
これで、とりあえずは対処完了です。
注)上記プラグインを有効化したままWordPressテーマをインストールし有効化しようとしたところ、「サイトに致命的なエラー」が発生し、画面が真っ白になってしまいました。
なんとなくこのプラグインが怪しいなと思い、試しに停止して有効化してみたところ、問題なく有効化できました。
新しいテーマやプラグインをインストールして有効化する場合、ワードプレスドクターは停止しておこなうようにしてください。
今のところ、エックスサーバーからはアクセス制限のメールは届いていないのですが、もう少し様子を見る必要があるかもしれませんね。
Googleのアクセス制限を解除する方法
では、原因となるファイルやウィルスが削除できたら、Googleのアクセス制限を解除してもらうために審査をリクエストしましょう。
サーチコンソールにログインし、該当のサイトを選択すると、以下のような画面が表示されます。
「セキュリティの問題:1件の問題を検出しました」という警告メッセージの「レポートを開く」をクリック。
ページが開いたら、「審査をリクエスト」をクリック。
ちなみに、「不正なページ」のタブをクリックすると問題のあったURLの一覧が表示されます。
以下のような画面が表示されたら、1:「問題をすべて修正しました」にチェックを入れ、2:「問題解決のために行ったこと」を記入し、3:「リクエストを送信」をクリックします。
2に関しては、
- 問題のあったファイルを特定し、すべて削除しました
- WordPressのウィルススキャンを実施し、マルウェアに感染していないことを確認しました
- パソコンの完全スキャンをおこないました
- 他の場所からすべてログアウトし、パスワードを複雑なものに変更しました
- プログラムやプラグインなどを最新バージョンに更新し、不要なものは削除しました
- 問題のあったURLをチェックし、アクセス不能であること、不正なプログラムが実行されていないことを確認しました
というような感じで箇条書きで実行した内容を記入すればOKです。
なるべく詳細に記入したほうが審査にも通りやすくなります。
リクエストを送信したら、しばし待ちましょう。
問題がなければ、「審査が問題なく完了しました」というメールが送られてきます。
今回の場合、半日程度で審査が完了しました。
これで、サイトにも通常通りアクセスできるようになりました。
以上で、審査リクエストのプロセスは完了です。
WordPressのハッキング・マルウェア・ウィルス感染対策
今回のようにならないように、未然にハッキング対策をしておくことが重要です。
ということで、ハッキングされないためのポイントをピックアップしてお伝えします。
ログインパスワードはより複雑なものにする
WordPressやFTPソフトのログインパスワードは、より複雑なものにしておきましょう。
ログインIDと同じ、もしくはIDプラス規則性のある数字など、推測されやすいものや総当たり攻撃で突破されやすい単純なパスワードは避けてください。
英語の大文字小文字や記号などを使い、定期的に変更するのがベストです。
僕の場合、今回ハッキングされたサイトは久しく更新しておらず、パスワードもとても単純でした。
これを機に、パスワードはきちんと管理するようにしていきます。
WordPress・テーマ・プラグイン等は常に最新バージョンにアップデート
WordPressやテーマ、プラグイン等は常に最新バージョンにアップデートしておくことも大切です。
実は、最近ブログを更新していなかったため、WordPressにもログインしておらず、アップデートもできていませんでした。
今回は、これらの脆弱性をつかれた可能性が高いということで、やはりアップデートはきっちりとやっていかねばならないということですね。
反省。
パソコン・ソフトウェアは常に最新バージョンにアップデート
それと同じく、パソコンやインストールしているソフトウェアについても、常に最新バージョンにアップデートしておくことが大切です。
ただ、最新バージョンは動作が不安定だったりバグが出やすいということがよくあるので、これまではある程度様子を見てからアップデートすることが多かったのですが…。
これからは、セキュリティーのことも考慮して更新をしていかなければなりませんね。
不要なプラグイン・使っていないテーマは削除する
使っていないプラグインやテーマは削除しておくのがベストです。
たまに使うなどの理由で、もし削除しない場合は、使わなくても常にアップデートだけはしておきましょう。
停止して放置している人も多いのですが(僕もこれまでそうでした)、セキュリティー面を考えると、使っていないものはできるだけ削除しておくのが望ましいです。
ウィルススキャンは定期的におこなう
当たり前ですが、WordPress、パソコンともウィルススキャンは定期的におこなうことが大切です。
今回のように、ウィルスはどこに潜んでいるか分かりませんからね。
ウィルススキャンは、個人的にカスペルスキーがおすすめです。
僕はこれまで、ノートンやマカフィー、ウィルスバスター、ウィルスセキュリティZEROなどいろいろなセキュリティソフトを使ってきました。
その中でも、カスペルスキーは機能が豊富で動作も軽く、とにかくコスパが素晴らしい。
なので、ここ数年はずっとカスペルスキーを使い続けています。
30日無料お試しもできますし、評価も高いおすすめのセキュリティソフトです。
ぜひ一度使ってみてください。
wordpressのハッキング【ソーシャルエンジニアリングコンテンツ検出】の対処法と対策まとめ
ブログやWEBサイトがハッキングされてしまうと、本当に大変です。
それに、最悪の場合は一生懸命育ててきたサイトを失ってしまうことにもなりかねません。
Googleからメールが届いたときは本気で焦りましたし、対処にもかなり時間がかかりました。
しかも、サイトのうちの一つは初期化したことで結局ゼロからやり直し。
これまでの苦労が、一瞬にして水の泡です(泣)…。
さらに、このようなことが続くと、エックスサーバーからもペナルティを受けてしまい、サーバーが使えなくなってしまうということも十分に考えられます。
どんなに気を付けていても、ハッキングされてしまう可能性はゼロではありません。
ただ、普段からきちんと対策をしておくことで、その可能性をゼロに近づけることは可能です。
ぜひ、僕の失敗を反面教師に、万全の体制でサイト運営をおこなってください。
参考になれば幸いです。
初めてコメントさせていただきます。
私、独学で自身でサイトを運営している者です。
数ヶ月前より、不正アクセスをされ、フィッシングサイト認定を受け、どう対処してよいか、さまざまなページを検索し、情報を得ようとしても解決には至りませんでした。
そもそもどこのファイルを改善すれば良いのかもわからないほど無知でした。
ですが、たにー様の本記事を見つけ、不審なファイルの削除をやっと行なうことができました。
まだ完全に解決できたのかわかりませんが、一部の悩みが解消されました。
大変感謝しております。
コメントありがとうございます!
不正アクセスにフィッシングサイト詐欺認定、ほんとツラいですよね…。
ファイルの削除ができたようで何よりです。
やっぱり日頃からのセキュリティ管理は大切ですね!
不正アクセス防止のプラグインを入れたり、サーバーやWordPress、プラグインなどのバージョンやアップデートを常に最新の状態にしておくのも大事みたいです。
最近更新していなかったので、メンテナンスも怠っていました…。
お互いセキュリティには気をつけて、サイト運営楽しんでいきたいですね!
ありがとうございました!