こんにちは。
このページにたどり着いた方は、エックスサーバー(Xserver)から不正アクセスによる、強制制限を食らってパニクっている方ですね。
同様のトラブルからPCにはそれほど詳しく無い私が、悪戦苦闘しながらも、復旧まで行った一部終始をご紹介する事で、少しでもお役に立てれば幸いです。
Contents
参考にさせて頂いた記事
まず最初に、今回の不正アクセスによるトラブルからの脱出で、大変参考にさせて頂いた2つの記事をご紹介させて頂きます。
本当に助けていただきました、ありがとうございます!!
復旧方法のまとめから見たい方はこちらへ。
Xserverからの強制制限メールが来た
コトの始まりはXserverから来たこちらのメール。
平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポートでございます。お客様のサーバーアカウントにおいて、
サーバーに対する負荷が著しく高い状況を確認いたしました。この度の負荷上昇に際してプロセスの稼働状況を確認しましたところ、
以下の不正なプロセスが多数稼働しておりました。〜〜〜<中略>〜〜〜
▼稼働していた不正なプロセス
——————————————————-
(引っかかったプログラムのに内容)
——————————————————-▼設置されていた不正なCron
——————————————————-
(引っかかったプログラムの詳細)
——————————————————-これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。▼サポートにて実施した制限内容
——————————————————-
・当該サーバーアカウントに対する緊急的なWebアクセス制限を実施※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。
で、自分のサイトを見てみると・・・
なんじゃこりゃ〜!!
どうやらXserverが本サイトを強制的に見れなくしてしまった様です。
サイトが見れないということは、当然ながらこうなります・・・
ページビューが全く発生しない → アドセンス収入はゼロ!
つまり一刻も早く復旧しないと、めちゃくちゃ機会損失が続いてしまうのです・・・
でもどうやって・・・。焦る気持ちでメールを読んで見ると、親切に復旧方法がこう書かれています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━次項【3】の
に記載しております「サーバーアカウント上に設置された
ファイルの削除」を行っていただき、サポートまでお知らせください。〜〜〜<中略>〜〜〜───────────────────────────────────
———————————————————————-お手数ですが、下記の手順にて「独自ドメイン」「初期ドメイン」、および
「その他のフォルダ」に設置されたファイルの削除をお願いいたします。※この作業による、データベースの初期化・削除はございません。
はっ!?ファイルを全削除・・だと・・・。
私もこの時めちゃくちゃ焦りましたが、大丈夫です。しっかり元通りになります!
エンジニアでもなんでもない私でも、少々時間がかかりましたが完全復旧できました。そんな復活までの一部始終をわかりやすく、なるべく丁寧にご紹介してゆきます。
不正アクセスの原因って一体なに?
ちなみに今回のトラブルはすべて私自身の甘さが原因となっていて、原因を理解すればするほどお恥ずかしい限りです。
メールにはこんなことが書かれています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━お客様の上記サーバーアカウントにおいて
以下の不正なファイル(ウイルス、マルウェアなど)が検出されるとともに、
日本国外からの不審なアクセスを確認いたしました。なお、不正アクセスの根本原因は下記2つのパターンに大別されます。
▼不正アクセスの根本原因
————————————————————
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。→該当プログラムが「どんなコマンドでも実行可能」である場合、
該当プログラムを経由して不正なコマンドの実行や、
不正なファイルの設置が行えてしまいます。(2)お客様のサーバーアカウントに関するFTP情報が流出し、
第三者に不正にFTP接続をされた。→FTP操作自体によるファイル改ざんはもとより、
任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
————————————————————お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。
自分の使っているワードプレスのプログラムからウイスルが入ることで、乗っ取られてしまう可能性があるから、Xserver側で制限をかけて止めてくれたということみたいです。
つまり、自分のPCセキュリティを行い、プログラムの更新を面倒くさがらず行っていれば回避出来たかもしれないのです。今回も事で自身のセキュリティ認識の甘さや怠慢を見直す良いきっかけにもなりました。
強制制限の解除方法と復旧までの道のり
Xserverからのメールに復旧方法が書かれていますが、私を含め殆ど方はちんぷんかんぷんで意味不明だと思いますので、まずはブログ復旧まで流れを一覧にしてみました。
- PCのセキュリティチェック
- データのバックアップ
- サーバーアカウントのドメインを初期化
- アクセス凍結解除の連絡とドメイン・ワードプレスの再設定
- データのアップロード
- テーマやプラグインの再ダウンロード
それぞれくわしくみてゆきます。
① PCののセキュリティチェック
メールにはこう書かれています。
───────────────────────────────────
ご利用のPCにてセキュリティチェックを行ってください。
———————————————————————-お客様のご利用PC端末にてセキュリティソフトを最新版に更新していただき、
ウイルスチェックと駆除をおこなってください。また、Windows UpdateやAdobe Reader、Flash Playerなどの
ご利用PC端末にインストールされているソフトウェアにつきましても、
最新版へ更新してください。
つまり「PCの中身を綺麗な最新の状態にしてください」って事です。
皆さんのパソコンにセキュリティは入っていますか(有効期限が切れていませんか?)自分はMACユーザーですが、恥ずかしながら「MACなら大丈夫」という油断から、有料のセキュリティソフトを入れていませんでした。すぐにこちらをインストールしました。
トラブルなんてのは、問題が起きてから予防のありがたみが分かるものですね。
②データのバックアップ
ここからが復旧の本番です。
ちなみにデータのバックアップはとっていますか?ワードプレスをある程度やってる方なら、BackWPUp等のプラグインを使って定期的にバックアップしていると思いますが、復旧した経験が無いと、本当に大丈夫なのか今ひとつ自信が持てませんよね。
私も全データを消去する事への不安あったので、最大限の情報を集めました。その結果、FTPソフトを使っての手動でのバックアップを行う事にしました。
名前は聞いたことがあっても、実際使った事がない方も多いかもしれませんが、ブログ復旧のためには必要なものです。ここはしっかりと我慢して使い方を覚えましょう。
ちなみに、今回私はこちらのサイト様を参考にこの2データのみをバックアップを取り、無事に完全復旧出来ましたのでご参考に。
- /ドメイン名/public_html/ → wp-config.phpファイル
- /ドメイン名/public_html/ → wp-content → uploadsフォルダ丸ごと
FTPソフトを使ったバックアップのやり方
MACユーザーの私は「FileZille」を使いましたが、Windowsの方は「FFFTP」が同様のソフトになります。使い方はこちらのサイト様を参照に少し感覚を掴んでおいて下さい。
まずはFTPソフトに接続する為のアカウントを確認します。
Xserverに登録した際、最初に来たメールに下記の情報があるので控えておきます。
続いてFTPソフトを立ち上げ、上記の情報を入力してサーバーにつなぎます。
ログイン後、画面右のサーバー側のフォルダを以下の順番でフォルダを下ってゆきます。
【ドメイン名のフォルダ → public_htm】
するとここのバックアップすべき1つ目のデータ「wp-config.php」があるので、以下の要領でご自身のPCに保存して下さい。保存先として事前にわかりやすい場所にフォルダを作っておくと便利です。
【ドメイン名のフォルダ → public_htm → wp-content】
次に上記に場所にバックアップすべきもう一つのデータ「Uproads」があるので、同様にPC側へドラックして保存します。先程のwp-config.phpと比べてかなり重いデータなので、相当時間が掛かるのと、保存先(PCのハードディスク)の空き容量が必要なので注意しましょう。
これで復活の為のバックアップは完了です。
よくわからないからといって、間違ってもすべてのフォルダをバックアップする事は止めて下さい!!その中には、すでにウィルスに侵されたファイルが数多く潜んでいます。後述しますが、そのまま再アップロードすれば良いなんて甘い考えだと、さらに取り返しのつかない事態になりかねませんよ。
③サーバーアカウントのドメインを初期化
バックアップが完了したら、続いてサーバー上のデータをすべて削除、ドメイン情報を初期化する作業です。
Xserverのメールにはこのように書かれています。
───────────────────────────────────
———————————————————————-お手数ですが、下記の手順にて「独自ドメイン」「初期ドメイン」、および
「その他のフォルダ」に設置されたファイルの削除をお願いいたします。※この作業による、データベースの初期化・削除はございません。
【!】ご注意ください
下記の作業により、お客様のサーバーアカウント上に設置されている
ホームページデータやメールデータおよび各種設定がすべて削除されます。画像、プログラム、設定ファイルやメールデータ、メールアドレス一覧などの
必要なデータは事前にバックアップを取った上でご対応ください。
自分のサイトのデータがサーバー上に保存されている訳ですが、ファイルは大きく分けて以下のA・Bに分けられています。詳しくはこちらのサイト様をご参考下さい
A【wp-content】
①themes(インストールしたテーマ)
②uploads(画像など)
③plugins(インストールしたプラグイン)
B【データベース】(記事の内容などブログで書いている部分)
先程バックアップしたデータはA【wp-content】内の②uploadsですね。
残念ながらA【wp-content】内①themesの③pluginsは汚染されている確率が高い為、すべて白紙にして、この後の復旧でイチから再インストールをすることになります。
って疑問ですが、それが上記メールの「この作業による、データベースの初期化・削除はございません」って部分で、初期化しても消えずに影響無いってことです。
で、先程バックアップをとった「wp-config.php」をアップロードする事によって、データベースを読みに行くそうです。(詳しい仕組みは解りません・・・ゴメンナサイ)
初期化する前に、自分がどんなプラグインを使っているか、メモ等で控えておくと再インストールの際に便利です。(自分の場合がFTP画面のプラグインフォルダを開いた状態のスクショで保管しました)
ドメインの削除手順
では、具体的に見てゆきましょう。
まずはXserverのサーバーパネルにログインしてドメイン設定をクリック
ドメイン選択画面に表示される全てのドメインを選択→削除ボタンをクリック
ホントにいいですか?的な画面になりますが、えいやっ!!と削除クリック。
するとドメインの初期設定画面になります。これで無事初期化が完了です。
初期化には勇気が入りますが、前述した通りにしっかりとバックアップさえすれば、ブログは元通りに戻ります。ここから回復作業に入ります。
④凍結解除の連絡とドメイン・ワードプレスの再設定
初期化後、サーバー上には以下の3つしかフォルダが残りません(FTPソフトで確認)
- 「初期ドメイン名」のフォルダ
- (オプション独自SSLを利用している)「ドメイン名」のフォルダ
- 「ssl」フォルダ
その事を確認したら、Xserverにメールでこんな感じで制限解除の依頼メールをします。
ご担当者さま
この度は本件お知らせありがとうございます。
・サーバーID :〇〇〇〇
・お問合せ番号:〇〇〇〇
・会員ID:〇〇〇〇
の、サーバ管理をしております●●と申します。
ご連絡いただきました、下記作業が完了いたしました。
ご確認いただき、 Webアクセス制限解除のお手続きをいたします。
よろしくお願いいたします。
すると1時間も立たずに返信が返ってきます。
こちらのミスで迷惑を掛けているのに、本当に対応が早くて頭が下がります・・・
Xserverからの返信メールはこんな感じ
●● 様
平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポート 石田と申します。会員ID:〇〇〇〇
サーバーID :〇〇〇〇
お問合せ番号 : 〇〇〇〇お忙しい中ご返信いただき、恐れ入ります。
先ほどサーバーアカウント「〇〇〇〇」における
WEBアクセス凍結を解除いたしました。再度ドメイン設定やデータのアップロード等
行っていただければと存じますが、WEB凍結時点でのデータから
【不正ファイルとして検出されたものだけ】を削除して
再度アップロードすることはお避けください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~不正アクセスが確認された時点のデータを再度アップロードされますと
また同じ問題が発生する可能性が【極めて高い】ものでございます。改めて【クリーンなデータ】を用いて
WEBサイトの再構築を行ってくださいますようお願いいたします。※ 再アップロードの際はWEBサイト作成時などの、改ざんの疑いのない
クリーンなデータを用いていただくか、各ファイルを1つ1つ
地道に不審な部分がないかをご確認いただいた上で
アップロードを行ってくださいますようお願いいたします。万一、また同じ問題が再発した場合などは
より長期のWebアクセスの制限などを実施することとなりますので
十分ご注意くださいますようお願い申し上げます。なお、ドメイン設定の追加後にアクセスが可能となるまで
最大1時間程度、反映にお時間がかかりますのでご注意ください。
かなり厳しい内容が書かれていますね・・・。
つまり「復活したからって、安易にBackWPUpなどで自動保存していたバックアップデータをそのまま使わずに、一つ一つ問題無いデータか確認しながらアップロードしろ」って事です。
さらに「もし再発したら、今度は凍結程度ではすまさんぞ!!」って強いメッセージも含まれています・・・。くれぐれも安易に全ファイルをそのまま使うのはやめましょうね(笑)
結構面倒そうな作業に思えますが・・・
- 保存した2つのファイルを問題ないデータか確認しながらFTPソフトでアップロード
- 初期化した事で消えてしまったテーマやプラグインのデータを加える
それだけなので、地道に行きましょう!
その前に初期化したワードプレスの再設定です。こちらのサイト様を参考にドメインの登録とワードプレスの再インストールを行いましょう。
これで無事にブログが復活。ワードプレスのダッシュボードが操作出来る様になります。
⑤データのアップロード
アップロードするデータは保存した以下の2つ。
- /ドメイン名/public_html/ → wp-config.phpファイル
- /ドメイン名/public_html/ → wp-content → uploadsフォルダの丸ごと
FTPソフトを使ってPCに保存した時と逆の動きをすればOKです。
wp-config.phpファイルのアップロード方法は以下の通り。
uploadsフォルダもドラッグ先がwp-content内のuploadsになるだけなので、同様の作業で行いましょう。
アップロードする際、念の為一つずつファイルの中身を確認しましょう。
少々手間が掛かる作業ですが、ひょっとしたら汚染されたデータが紛れ込んでいる可能性があります。せっかくココまで手間かけて復旧作業しても1つのデータで台無しになってしまいます。面倒くさらずに頑張りましょう(^^)
⑥テーマやプラグインの再ダウンロード
復旧の最後は、これまで使っていたテーマやプラグインを再インストールです。
バックアップデータでは無く、ワードプレスのダッシュボード上から最新版を一つずつインストールしてゆきます。
プラグインはメモ保存しておいたものを参考にしますが、これを機に使っていない不要なプラグインを整理出来るのが良いですね。
これで無事ブログは元通りになっているはずです(^^)
お疲れ様でした♪
Xserverからアクセス制限を喰らったまとめと反省
今回の不正アクセスからの制限を受けたことで、セキュリティに対しての脇の甘さを痛感しました。
ただ、手探りで苦労しながらも復旧してゆく過程で、FTPソフトの使い方やデータの保存先やサーバーとの関係など、これまで漠然と使っていたブログの仕組みを理解出来た事は収穫でした。
インターネット上には無課金で解決してくれる情報が溢れています。お世話になったブログ様には感謝しかありません。
同様に今回の自分の経験が、同じトラブルで困っている方の解決に少しでも役立てれば幸いです。
最後までお読みいただきありがとうございました。
[…] […]
同じようなメッセージがXserverから届き、かなり焦っていましたが、この記事の通りに進めて無事復旧できました。ありがとうございました!