お客様事例3 不正アクセスで利用停止されたエックスサーバーの解除

エックスサーバーから以下のようなタイトルのメールが来ます。

【Xserver】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について (お問い合わせ番号)

サーバーの症状

画面には403エラーと表示されます。

概要

不正なアクセスの検知および制限の実施というのは、マルウェアに感染してしまって外部への攻撃の踏み台になったWordPessサイトを強制的に通信を切り離したということです。マルウェアはサーバーを利用するのが目的なのでワードプレスサイト自体の機能には影響がありません。ウェブサイトをアクセス禁止にしたのはエックスサーバーの判断ですが、それは攻撃がよその会社とか取引先にまで広がるのを未然に防いでくれてます。放置されていたら、ある日、知らない会社から損害賠償請求が来るなんてこともない話ではないです。

対応内容

基本的にはエックサーバーカスタマーサポートの指示の通りです。つまり、
・ユーザーが自分で全てファイルを削除する
・エックスサーバーが安全性を確認したらWebサービス再開
・ユーザーはWebサイトを再構築する
指示は具体的です。ただし、バックアップしたデータにはマルゥエアが入り込んでいます。不正なプログラムをサーバーにアップロードすれば不正アクセスはすぐに再発します。アップロードの前のチェックには十分な注意が必要です。

対応は段階的に行います。

第1段階

  • サーバーの全データバックアップ
  • 設定をメモる
  • サーバーの初期化
  • エックスサーバーへ制限解除の依頼をする

第2段階

  • ドメイン設定
  • メールアドレスを作成
  • WordPressのインストール
  • 「メンテナンス中です」と表示する

第3段階

  • マルゥエアの削除
  • 画像ファイルのアップロード
  • テーマのインストールと設定
  • プラグインのインストールと設定

第4段階

  • データバックアップ
  • php.iniの設定

2019年11月だけで復旧依頼件数は2桁に入りました。いずれのケースに共通するのがワードプレスのバージョン4.7を使っていた事です。