「不正なアクセスの検知および制限の実施」で404エラー！サイト復旧のために行ったこと

こんにちは。安慶名勇子（アゲナユウコ）です。

朝起きてみてびっくり。エックスサーバーから「【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について」というヤバそうなメールが届いているではありませんか。

所有している複数のサイトにアクセスしてみたところ、いくつかのサイトが404エラーで表示されないほか、管理画面には入れるものの表示が崩れているサイトも。

早急に対処し、全サイトの復旧を確認したので、その流れを書き留めておきます。

まずはエックスサーバーからのメールを確認

エックスサーバーからのメールを確認。サポートからのメールには、

• 怪しいファイルはパーミッション（アクセス許可の値）を00に書き換えてある
• サーバー内からこれらのファイルを削除すること
• サイト復旧のためのデータアップロード等を実施すること

といったことが記載されていました。添付されていたテキストファイルには、怪しいファイルとされるファイル名の一覧がズラリ…。

復旧作業開始

FTPソフトにてサーバーに接続し、エックスサーバーからのファイル名一覧を参照しながら怪しいファイルを削除。すべて削除し終えてもサイトは復旧の兆しゼロ…。

サイトを構成しているファイルの構成や中身を見る限り、プログラムが書き換わっていることはなさそう。データベースにも問題なし。

ということは…。フォルダとファイルのパーミッションがおかしいのでは？とチェックしてみたところ大当たり。本来ないはず場所に.htaccessファイルが大量に存在していた上に、その中身が下記のように書き換えられていました。

FTPソフトで.htaccessファイルを検索したところ、数百もの.htaccessファイルがヒット。public_htmlフォルダ以外の.htaccessファイルを一括消去しました。

public_htmlフォルダの.htaccessファイルはデフォルトで記述されている内容に中身を書き換え。あとは、.htaccessのパーミッションの値を644（この推奨値はサーバーによって異なるはずなので要確認）に変更したところ、各サイトにアクセスできることを確認しました。

WordPressやテーマ、プラグイン等を最新バージョンに更新して、復旧作業完了です。

「不正なアクセス」のパターンはさまざま

今回のケースは、あるサイト（使用しておらず、時期を見て削除しようと思っていた）に使用していたプラグインの脆弱性を狙われた模様。そこからサーバーにアクセスされ、その配下にある複数のフォルダにスパムファイルを設置されたというものでした。

別パターンの不正アクセスからの復旧作業に関わったこともあるのですが、スパムファイルの設置だけでなく、サイトを構成しているファイルの書き換えが行われていたり、全く知らないユーザーが登録されていたりということもありました。今回紹介した方法は、あくまでも今回のパターンの場合にのみ有効で、全ての不正アクセスがこの方法で復旧できるわけではありませんのでご注意ください。

WordPress、テーマ、プラグインのこまめなバージョンアップは、このような不正アクセスを防ぐためにも大事なことですが、それでも起こってしまった場合には、サーバーからのメールを熟読し、記載されている方法に従って処置を施していきましょう。