いやーびびった。
お客様のサイトが突然
「by TheWayEnd」と表示されるようになった。
CMSとしてWordPressを入れていたので
WordPressの設定ミスか?と思ったけれども
先日、チェックしたばかりだ。
嫌な予感がしたので
「by TheWayEnd」について
グーグル先生に聞いてみたところ
クラッカーによるクラックだった…。
よりによって休日に…。
やむを得ないが、システム担当者に連絡して
一緒に出勤、直ちに修正。
そして今に至る…。
本件についてメモの意味も込めて以下に記す。
◯by TheWayEndとは?
よくわからんがクラッカーが
クラックの痕跡として残すキーワード。
以前から多発しているようで
今もなお、改竄は起きている。
↓参照
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html
◯何が起きたの?
サイトにアクセスすると
「by TheWayEnd」と表示されるようになった。
◯原因は?
WordPressを導入していたのだが
そのシステムの「wp-config.php」の中身が
「by TheWayEnd」と書き換えられていた。
◯対処方法は?
「wp-config.php」を元に戻して終わり。
他に改竄はない模様。ウィルスチェックもした。
◯今後どうすればいい?
・FTPパスが漏れたか、総当たりで侵入された可能性があるのでFTPパスワードの変更。
・念のためFTPにおいて特定のIPアドレスからのみアクセスを許可するように変更。
「.ftpaccess」ファイルを用意し下記のように記述。
<Limit All>
Order Allow,Deny
Allow from ***.***.***.***
Allow from 127.0.0.1
Deny from all
</Limit>
***.***.***.***がIPアドレス。
IPを間違えるとアクセスできなくなるので慎重に。
また、WordPressの特定のファイルが狙われているので
WordPressを使用している人は注意。
まあ、WordPress以外でも被害が出ているみたいですけど・・・。
◯ついでに
名誉のために書いておくけれども
うちの会社ではあらゆるセキュリティー対策は行っている。
ウィルス・スパイウェア・フィッシング対策はモチロンのこと、
外部からの社内ネットワークへの侵入は不可能。
(これでダメってことならどーしよーもねーやー)
だから、お客様のPCからFTPパス漏れた疑いが高い…。
(FTPパスの総当たりの可能性もあるけど)
後日、お客様のPCのセキュリティについて伺う予定。
土曜日オワタ\(^o^)/
コメントを残す