「WEB サイト改ざんが再発してしまう(Gumbler)」にお答えします。

サーバー上に覚えのないファイルはありませんか?

いろいろな種類の WEB サイト改ざん被害が増える中で「WEB サイトのリニューアルと予防処置を行いましたが、なぜか Google からブロックされ続けています」という声も聞くようになりました。

そこで「保存した覚えのないファイルがありませんか?」とお聞きして、「.htaccess や default.php はありません。それ以外もあるのでしょうか?」→「もちろん、あります」こんなやり取りも。

よく改ざんからの復旧方法に「覚えのないファイルのチェック」と書いてありますが、「iframe、javascript」などの具体的なキーワードがないこともあり、認知度は低いかもしれません。しかし、Google からブロックされ続けているなら、不正なファイルが残っている可能性もあります。

そこで覚えのないファイルのチェックとは? についてご説明します。

どのようなファイルでしょうか?!

閲覧中のユーザーへウイルス感染させるような改ざんを A プランとすると、目的の異なる B プラン的なファイルも置かれています。つまり 1回の事故で 2パターンの被害に遭っています。

具体的には、他のサイトへの攻撃の踏み台に使う、不正なファイルを新たに設置する、このような目的のファイルが残っています。ファイルの拡張子は「.php」であり、プログラムとして動作するファイルです。

発見方法としては、ソースを開いて「他のサイトを攻撃する」ような不正ファイルがないか確認します。ちなみに「iframe、javascript」など調査するキーワードはありません。

もしソースを見ても判断できない場合は、どのファイルからもひも付けされていない、孤立したファイルを探すのでも良いでしょう。これは外部から送りつけられたコマンドを処理したり、中継するだけのファイルのため、既存の何かと関連を持つことはなく、孤立しています。なお、孤立したファイルであれば、使われることもないので削除しても問題ありませんが、念のため、バックアップを取った上で削除してください。

ファイルの置かれている場所については、CMS のシステムフォルダ内がケースとしては多いです。ただし、まったく関係ない場所にあるケースもあります。もし WEB サイトをリニューアルすることにより改ざん修正するなら、過去のデータは引き継かず、新たにスタートしたほうが得策です。

プラグインも要注意?!

レンタルサーバの場合、サーバソフトのバージョン管理をレンタルサーバ会社で行っています。そして残る予防策として CMS 及びプラグインのバージョンを適正にする、インストール時にしか使用しない不要ファイルや管理ツールを削除する、初期アカウントや各パスワード変更、https によるログイン、パーミッション設定、これらのセキュリティ対策をしっかりと行ってください。なお、サーバ会社側の事故も実際にありますので、レンタルサーバ契約を更新するのか乗り換えるのか定期的に見直すことも大切です。また専用サーバの場合はライフサイクルが終わったサーバソフトのバージョンも上げ、ログを監視し構築してください。

ところが上記いろはでは解決できない事故もあります。「海外のプラグインを入れたら、Google からブロックされてしまい、削除したら、ブロックが解除された」というお話を聞く機会がありました。ここはフリーのソフトやアプリの共通の怖さでもあります。なぜなら、それまで評判が良くても、バージョンが上がってから余計な個人情報を収集するなど、いきなり悪質化するケースもあるためです。他人が制作したソフトを使う場合は、よくよく注意したほうが良いでしょう。具体的には、インストール後に何のファイルが増えたのかを確認し、ソースを確認してください。

なお、バージョンは常に上がりますし、ライフサイクルも終わります。またサイトをリニューアルすることもあるでしょう。時間の経過とともに環境は変わり、改ざん事故の入口になることもありますので、継続的にログを確認したり、対策を行い、予防してください。