先日、取引先が運営しているブログが表示されなくなったのだが、ウイルスに感染していることが原因だと判明した。
その昔、弟のPCがワームに感染した際は適当に駆除した事はあるが、今回はどうしたものかと思案していたところ、さくらインターネットより一通のメールが届いた様子。
abuse対策チームより警告
さくらインターネットでは、運営するサーバーが迷惑行為や不正行為に利用されていないかを監視するため、「abuse対策チーム」という部署を設けているらしいのだが、ここから警告のメールが届いた。
内容を要約すると、
- あなたのサーバーから迷惑メールが送信されています。
- OS再インストール等の対策を行わないと、サーバーを停止します。
- 期限は明後日です。
とのことだ。
バックドアを仕込んだ犯人は、件のブログサーバーを迷惑メール送信の踏み台として使っていたようだ。
幸い自分が見ていたので明後日まででも何とか出来そうだが、一介のブロガーがいきなりこの通知を受け取ったら失神するだろう。もっとも、一介のブロガーがVPSを使うのかと問われると良く分からないが。
対応
時間もないので早速対応に着手する。OSを再インストールし、WordPress環境を再構築した後、記事を復元する手筈とした。
まずは、WordPressの機能を使ってすべてのコンテンツをエクスポートする。
すべてのコンテンツと言っても記事に添付した画像は含まれないので、こちらは別途ダウンロードする。画像にもウイルスが紛れ込んでいる可能性があるため、アップした記憶のないファイルが紛れてないか確認してもらいつつ、ウイルスチェックを実行。問題無いようだ。
念のためデータベース自体も丸ごとバックアップした後、サーバーを停止し、OSを再インストールした。次いでWordPressをインストールする。この辺は手順が確立しているので何のことは無い。
初期設定をこなし、これまで使っていた有料のテーマをインストール。php.iniを修正して2MB制限を回避しつつコンテンツをインポート。続いて画像などをアップロードすると、概ねブログは復帰した。多少レイアウトが崩れている箇所があったが、元通りにするのも面倒なのでその場でスタイルシートを書き足してそれらしく修正。意外とあっさり完了だ。
ウイルスの感染経路は結局謎のまま
本当は脆弱性がある箇所を調べないと同じことが起こる可能性が高いのだが、議論の末無償対応()になったので時間を使うのはやめた。
ぱっと見たところ、数年間プラグイン自体の更新が無いプラグインを利用していたので、その辺りに脆弱性があったのではと勝手に思っている。確証は無いのでプラグインの名前は伏せるが、そのプラグインは使わないように勧めておいた。
実際にWordPressのプラグインの脆弱性を狙った攻撃は多発しているので、インストールするものは慎重に選んだほうが良い。インストールする前に「プラグイン名 + 脆弱性」で検索するくらいはすべきだろう。
ちなみに、このブログは毎日WordPress本体とプラグインの更新があるかを確認し、更新があれば即座に対応していた模様である。やはりプラグイン自体の選別が重要なのだろう。
