【悲報】うちの90サイトが一気にハッキングされる【ロリポップサーバー】

roripo8

どうも、管理人のガイです。

私の一日は所持サイトの順位チェックから始まります。
メインサイトの順位が下がっていることに一喜一憂したり、上がったと思ったサイトが一日持たずに圏外に飛んだことに一喜一憂したり、だいたい憂いてる。

それで、いつものように順位チェックをしていたわけですが、2ページ目あたりに所持サイトの1つを発見。
おっ、うちのサイトが上っとるで!早速チェックや!


あれ?

サイトを開こうと思ったところでPHPのエラーログが。WordPressを使っている方ならよく見かけるかもしれませんが、header.phpだったり、index.phpだったりをいじって文法ミスだったりを起こすとこうなります。
何かやらかしてしまったか。

でもphpファイルをいじっていて、こうなってしまったことに気づかないまま放置するのはまずあり得ません。
おかしいなぁと戸惑いながらも、とりあえずサイトを表示できるようにしないとせっかくのアクセスを逃してしまいます。まず修正しなければ。

エラーログにはindex.phpの18行が間違っているとあるので、ロリポップFTPから直接書き換えます。

んん?

iframeのタグが入ってる。
iframeなんか利用した覚えはありませんし、確かこんなタグはもともと入っていなかったはずです。

もうこの時点で嫌な予感しかしませんが、「iplog.php」をソースにしているようなので、ドメインのフォルダを確認すると、

ありました、iplog.php。中身はこんな感じ。

なるほど。
要はこれ、サイトにアクセスしたユーザーのIP情報などを取り出してiplog.txtに書き出すというプログラムです。
しっかりiplog.txtも生成されてあったので、こちらも確認すると

しっかりと記録されてありました。私が3回アクセスした分の記録です。
スモールキーワードかつ2ページ目ということで他の方の記録はありませんでした。

覚えのないiframeタグ、アクセス者の情報を抜き出すiplog.php、それを書き出すiplog.txt。
どう見てもハッキングされてます。あちゃー!

ここ数日海外から攻撃を受けているみたいですしね。

ちなみに、WordPressではない普通のHTMLサイトであっても同様の改ざんがされてあります。WordPressでPHPのエラーログが出なかったら気付かなかったかもしれません。ハッカーのミスでしょうかね。


上から下まで、がっつり同時刻に書き換えられています。ちなみに一番上のフォルダはドメイン切れのサイトだったからか、スルーされました。

ロリポップサーバーは複数契約していますが、被害にあったのはusers170のサーバーだけです。
他のサーバーは被害なしですが、users170に入れてある90サイトはご覧のとおり全滅。なんということでしょう。


とりあえず対策をどうするか

ログインパスとFTPパスを変更し、改ざんされたファイルを修正・削除(4時間ほどかかりましたorz)。
その後バックアップを取っていますが、今日中に終わる気配がありません。
そのほかに出来る対策も特になく、ロリポップ側に問い合わせ中です。


必ずチェックしておきましょう

現状はこんなところです。同じくロリポップのusers170サーバーを使っている方はチェックすることをおすすめします。
(まさか私だけ個人的に狙われたりはしてないでしょうけど)
特にWordPressではない普通のサイトでは、一見何の変化もないので要注意です。


追記:ロリポップから返事が来た

うちだけだった!!
FTPパスワードを初期値のままにしていたのがまずかったのでしょうか。
この手の騒動はどのレンタルサーバーでも起こりうることなので、皆さんもパスワードの管理には十分に気をつけて欲しいと思います。
定期的に変えたほうがいいでしょうね・・・。

もし同じようなハッキングを受けた方がいたらコメントで教えていただければと思います。
(本当にうちだけなのかと内心気にかかってます)

関連記事

コメント

    • tomoya
    • 2014年 11月 21日

    当社が関わってるサイトが全く同じ状況になりました。ちなみにヘテメルサーバーです。
    ロリポップといいヘテメルといいGMOサーバーには不信感しかないです。

    • 小倉晴久
    • 2014年 11月 22日

    iplogで検索し、黄サイトを見つけました。

    本日ページの修正でFTPファイルを開いたのですが、フォルダーツリー直下にindex.htmlファイルのほかに、以下のファイルがアップされています(直下には従来index.htmlファイルしかアップしていません)。

    iplog.php 1KB PHP Script 2014.11.21  14:25
    iplog.txt 2KBテキストドキュメント 2014.11.22 7:21
    (Index.html 2014.11.21 14:25)

    アップされた日付は昨日の午後と今朝となっており、iplog.phpとIndex.htmlは同じ時間となっています。

    私自身は、昨日index.htmlファイルをアップしていないので、実に、不思議な状況です。
    iplogの2つのファイルを削除し、index.htmlファイルの再アップしておいた方がいいでしょうか? アドバイスをお願いします。

    小倉

    • yoshi
    • 2014年 12月 19日

    はじめまして

    2014/12/17に私も同様のハッキングをされました。
    iflameのタグを取り除くと表示はされ、画像やデータベースは全く無事でした。同様にiplog.phpが生成されていたので削除しました。ハッキング3日前に完成したばかりのサイトだったので、ただただ気持ち悪いです。

    私のほうはさくらインターネットですが、そこにあった4つのワードプレスを全く同じ状態にされていました。
    ftpログイン履歴をみると、ハッキングされたであろう時間帯にログインしているのは、
    さくらインターネットのIPと、記憶にない私のIPアドレスの2つだけでした。

    ftpよりも、ワードプレス自体に入られた感じが強いですね。。。わからないですが、、、
    内容非常に参考になりました。

    ありがとうございました。

  1. ガイ
    • admin
    • 2015年 11月 25日

    放置していたらあっという間に一年経っちゃいましたが、いまさらながらコメント返信を。遅すぎ?

    tomoya 様
    こういう不祥事は多いみたいですね、ロリポップ系のサーバー。
    すっかり「安くて性能そこそこだけどセキュリティは弱い」という位置づけに…

    小倉晴久 様
    index.htmlもいじられている可能性がありますね。
    htmlファイルを開いて変な記述が無ければそのままにしておいてもいいとは思いますが、iplogのファイルは削除、いじられる以前の日付のindex.htmlがあるならそちらをアップしなおしたほうがいいでしょうね。

    yoshi 様
    WordPressも使用ユーザーが多いだけにハッカーに目をつけられやすいですからね、今回私が気づいたのはロリポップでしたが、他のサーバーでもあるとなると…なかなか確認が手間です。
    こちらこそ情報ありがとうございました。

  1. この記事へのトラックバックはありません。

ページ上部へ戻る