どーも、こんにちは。
トシです。
僕は複数のサイトを運営しており、
それぞれのサイトにおいて「広告費」による収益を得ています。
その中には月間PVが50万〜100万PV近くになるサイトもあるのですが、
この度、そのサイトの一つがハッキングを受けました。
というか、このサイトもハッキングを受けました。
(PV数が激減して気づきました。2日かけて現在は数日前の状態に戻っています)
いわゆる「乗っ取り」です。
googleから来た「[サイト名]の新しい所有者を追加しました」というメールで気づいたのですが、
ここに状況と現象、とりあえずの応急処置について記録しておきます。
焦ってスクリーンショットなどは撮り忘れましたが、覚えている範囲で書き出しますね。
※2017/07/31に発生、すぐに対処した結果、2017/08/01現在はハッキングは止まっています。
※2017/08/03にこちらのサイトもハッキングを受けたのに気づいたため、初期化。こちらも一度投稿した記事ですが再投稿しています。
今後状況が変わり次第、随時更新していきます。
2017/08/01:リダイレクト先のサイトについて追記
【前提】乗っ取りが発生したサイトについて
サイトは「さくらサーバー」+「Wordpress」を使用していました。
しばらく更新していないサイトで、プラグインやWordpress、テーマの更新がされていませんでした。
→こちらのサイトは比較的更新されていて、プラグインやWordpressのバージョン、テーマなども更新していました。
【応急処置】まずやること!Google Search Consoleから覚えのない「所有者の追加」の連絡が来た場合
この記事にくる人は『サイトが乗っ取られるかもしれない!』と焦っている方がほとんどでしょう。
なので、まずは応急処置について。
Google Search Consoleから覚えのない「[サイト名]の新しい所有者を追加しました」の連絡が来た場合、放って置くと完全にサイトが乗っ取られる可能性があるため、以下の手順でサイトを保護しましょう。
①勝手に追加されたユーザーを削除する
・所有者追加のメールより「ユーザーを管理」を開き、画面右上の「プロパティ所有者の管理」を開く。
・画面下部に「確認済みサイト所有者」があり、そこに身に覚えのないユーザーが追加されているため、処理「未確認にする」を押す。
◯未確認にできた場合
・そのまま前のページ(ユーザーを管理の画面)に戻り、ユーザーを削除する。
◯未確認にできない場合
・おそらくサーバーに[承認用のhtmlファイル]がアップされているため、「未確認にする」の左にある「確認の詳細」からファイルの場所を把握、FTPツールを開き、当該ファイルを削除する。
・その後、「プロパティ所有者の管理」の画面より再び処理「未確認にする」を実行する。
・未確認にできた場合は、前のページ(ユーザーを管理の画面)に戻り、ユーザーを削除する。
まずはこれをやってしまいましょう。
とりあえずは、グーグルのアカウントが乗っ取られるまでの時間を稼げます。
②書き換えられたファイルを元に戻す
サイト全体の復旧は後ほど行うとして、
次にやることは「index.php」の復旧。
おそらく、ドメインへ直接アクセスしてもサイトの表示は問題ないはずです。
でも、グーグルの検索結果からアクセスすると、リダイレクトされて変なサイトに飛ばされるのではないでしょうか。
僕の場合「index.php」ファイルが書き換えられていて、全く違うサイトに飛ばされるようになっていました。
なので、このファイルを元(基本的にインストール時のものでOK)に戻しましょう。
バックアップがあればそこから、なければWordPressのサイトからダウンロードして置き換えてください。
これで一旦は、サイトの表示が正常に戻ります。
③ハックを止める。ドメインのフォルダの権限(パーミッション)と中身のファイルを確認
サイトの表示が元に戻せたら、次は「ドメインのフォルダの権限」と「フォルダの中身のファイル」を確認してみましょう。
まず、これはあまりないと思うのですが「ドメインのフォルダの権限」が「777(以下画像)」となっていないでしょうか。
この状態では、外部の誰にでもそのサイトを触れてしまうことになります。
僕はサイトの表示の都合上「745(以下画像)」としていますが、
「744(以下画像)」としておくのが良いでしょう。
※変更の都度、サイトが正しく表示されるか確認してください。
また、僕の場合はドメインフォルダの直下に「shijianabc.txt」と「jlagent.txt」というファイルがアップされていました。
中身はサイト情報を書き換えるリライト実行ファイルのようでしたが、これらのような『更新日が新しく&身に覚えのないファイル』があれば削除してしまいましょう。
ただ、これらのファイルはツールによって自動アップされているのか、今回は何度消してもアップされました。
仕方ないので「それらと同じ名前の空ファイル(中身に何も書いてないファイル)」をPC側で新規作成(メモ帳などを使ってください)し、サーバーに上書きアップロード→権限を「000(以下画像)」とした上で置いておくことで、再アップロードが停止しました。
足りないことはあるのかもしれませんが、応急処置は以上です。
僕の場合、とりあえずここまでやればハッキングは止まりました。
他にもサイトマップのxmlファイルなども書き換えられていましたが、それは後ほど復旧すればOKだと思います。
まずは上記3つについてやってみて、それから復旧に入りましょう。
復旧に際して参考になったサイトはこちらでした。
落ち着いたところで、乗っ取られたことで起こった「現象」について整理してみる
乗っ取られたことで、PVが低下し、ドメイン内の「index.php」「.htaccess」「robots.txt」が書き換えられた他、目に見える形で起こった現象は主に2つです。
1、グーグルの検索結果から僕のサイトに飛ばず、リダイレクトされたページに飛ぶ
飛んだ先は「オートクラフト京都」というサイト。自動車パーツの販売ページっぽいですが、おそらく詐欺サイトでしょうね。
【2017/08/01:追記】
県警のサイバー犯罪対策室に相談したところ、リダイレクトされた上記のサイトは『別のサイトをコピーした詐欺サイト』だということが判明しました。
ハッキングされている間のPV計上はどうなっているのか分かりませんが、少なくともコンテンツや広告は表示されないので僕の収益は減ります。
広告単価も落ちるでしょう。
2、サイトのサイドバーなどが正常に表示されない
ドメイン直でサイトをみた場合、サイトは表示されますが、一部のコンテンツ(サイドバー広告や、オススメ一覧など)が表示されなくなりました。独自コンテンツなども表示していたのですが、これらも全て表示されず。
また、僕のサイトは未遂に終わったのですが、
3、【未遂】グーグルの検索結果に「このサイトは第三者によってハッキングされている可能性があります」の表示がでる
という場合があります。
というのも、上記の「jlagent.txt」というキーワードで検索したところ、以下のような検索結果が出てきましたから。
検索結果にこんなのが表示されたら、そりゃ誰も来なくなりますよね。
すぐに被害が出るものではありませんが、中長期的な損失はとんでもないことになりそうです。
ハッキングされた原因
正直、原因は分かりません。
一体、どこから入られたのか・・。
が、可能性としては
・ドメインフォルダの権限(パーミッション)が「745(外部から「書き込み」はできないが「実行」が可能)」になっていた
・Wordpressを含め、プラグインなどを長期間更新していなかった(このサイトは更新していてもハックされました)
・使っていない不要&セキュリティの甘いフォルダがサーバー上にあった
の2つが入り口として挙げられます。
また、僕は最初「FTPサーバーのパスが漏れてる?」と考えてパスワードを20桁のものに変更したのですが、「shijianabc.txt」と「jlagent.txt」のファイルは相変わらずアップされ続けたため、サーバーに不正ログインされてアップされた訳ではなさそうです。
さらに、僕が普段使用しているPCでウイルスチェックをかけましたが、全く問題はありませんでした。
そのため、内部の権限のゆるいフォルダに何かしらのファイルがアップされ、そこから少しずつ侵食された可能性が高いと考えてます。
今後に向けての対策
現状、ハッキングは止まっているため、何もできることはありません。
警察には一応報告しておきますが、果たしてどうなることやら。
ただ、今後の対策として、以下の2点をやることにしました。
1、「.htaccess」ファイルにサーバーのディレクトリが外部の人に見られないような記述をしておく
じつは今回のサイトは初期に作ったものだったため、セキュリティなどの面で脆弱な部分が沢山あると思われるのです。
その1つが『外部からサイトのディレクトリ構成+ファイルを覗けてしまう』というもの。
これは「.htaccess」ファイルに『Options -Indexes』と記述するか、さくらサーバーであれば『DirectoryIndex index.html index.cgi index.php .ht』と記述すれば解決します。(こちらのサイトが参考になります)
ファイル内の書く場所は関係ないようで、僕は一番下に付け足す形で書きました。
2、サーバ内の使ってないフォルダとファイルを消す→権限を変更
不正なアクセスを許してしまう原因の一つに、権限のゆるいフォルダの存在が考えられます。
そのため、使ってないファイルやフォルダは消してしまい、それらの権限(パーミッション)も「書き込み不可」「実行不可」としておくと良いかと思います。
他にも有効な方法があるのかもしれませんが、僕には思いつきませんでした。
誰か詳しい人がいたら、教えてください。m(_ _)m
過去の報告
また、今回の乗っ取りについては去年くらいから出てきているようで、検索してみると似たような報告がありました。
『Google Search Consoleの不正利用 及び サイトのハッキングについて』
ここでは「バックアップから復旧する」という対処法が載っていますが、これらは根本解決にはならないでしょう。
原因の特定は難しいですが、可能性のあるところに順番に手を入れていくしかありませんね。
以上、僕が経験したWordpressサイトの乗っ取り被害の報告でした。
今後、なにか進展がありましたら追記していきますね。
また、「同じような経験をした」という方や、「こうした方が良い」という方がおりましたら、コメントや問い合わせより連絡いただけますと幸いです。
こちらの記事を参考にさせていただいたのですがうまくいかずご連絡させていただきました。
見知らぬGoogleアカウントに、(自分のwordpressサイト)http://・・・.net/cache/ の新しい所有者を追加しましたという通知がきました。
自分のサイトのURL http://・・・.net/ の後ろに/cache/がついたものと/pdf/がついた2つのものに所有者として追加されてしまいました。
所有者として外したいのですが、未確認にしようとしても
”・・・@gmail.com(見ず知らずのアカウント) を未確認にできませんでした。確認ファイルがまだ残っています。”
と表示され未確認にできません。
そうすると以下のように表示されています。
所有者から外すにはこのHTMLファイル(確認トークン?)を削除しなければいけないようですが
どこにこのhtmlファイルが存在するのかわからなくて困っております。
・・@gmail.com(見ず知らずのアカウント) は次の方法でサイト所有者として確認されました:
HTML ファイル:
googlec691e4015021b9ac.html
こういったウェブ関係に詳しくないのでわかりやすく教えていただけると大変助かります。
よろしくお願い致します。
こんにちは。かなり不安な状況かと思います。
一つずつ解決していきましょう。
まず「確認済みサイト所有者」に児玉さんのメールアドレスが表示されているかと思います。
そこの右側にある「確認の詳細」を開き、htmlファイルの位置を確認してください。
ファイルの位置は「www/…/…/..html」という表記で書かれているかと思いますが、最初の「www」はWordPressの『wp-admin』フォルダなどが置かれている位置を指します。
そこから順番にフォルダの位置を掘り下げていくとファイルが見つかる筈なので、まずはそこをご確認ください。
また、ここで書いてしまうと個人情報が漏れる可能性がありますので、続きは問い合わせからメールいただければと思います。
コメントいただきありがとうございます。
問い合わせフォームより送らせていただきましたが届いておりますでしょうか?
児玉さん
お返事が遅れて申し訳ありません。
こちらには連絡が届いておりませんでした。
先ほど、メールをこちらから送らせていただきました。
ご確認くださいませ。