ファイルが改ざんされサイトの通信が遮断された!
私は今、xserver と value domain の core server と、二つの会社のレンタルサーバーを借りて、サイトを運営しているのですが、ある日、見慣れないメールが届きました。
お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について
一体何事かと管理するサイトを見てみると、なぜか表示されません。レンタルサーバーから来た警告を改めて読み直したときに、管理するサイトに何者かが侵入し、ファイルを改ざんし、不正プログラムを実行していたために、レンタルサーバーが通信を遮断してしまったということがわかりました。
さらに別のレンタルサーバーからも次のようなメールが届きました。
こちらのサイトもやはり同じようにレンタルサーバーが通信を遮断したため人、表示されなくなっていました。
どうしよう!
再開の条件はサーバーアカウントのファイルを全て削除
レンタルサーバーの会社からの警告のメールは、非常に長く詳しく丁寧に書かれているのですが、内容が専門的過ぎて、非常に難しい。
で、結局何をすればサイトが復活できるのかというと、「サーバーアカウント上に設置されたファイルを全て削除」して、それをレンタル会社の担当者が確認できた時点で、再開させてくれるとのことでした、
というのも、今までのサイトはファイルが改ざんされていて、そこから不正なプログラムが実行され、大量のスパムメールが配信されるためです。
その改ざんされたファイルというのがあまりにも大量にあり過ぎるために、それらだけを取り除いてサイトを継続するというのは不可能なため、すべて削除しなければならないというわけです。
ということは、今まで作り上げたサイトはすべて捨てろということなのかと焦りましたが、サーバーからデータを全部削除して、また再び前と同じようにサイトを再開する方法があったのです。
絶対に消してはいけないデータはどれ?
サイトは通信が遮断されてるものの、FTPでサーバーにはアクセスすることができました。そこからデータをダウンロードすることができます。
しかし、改ざんされたファイルを再利用することはできません。しかし、前と同じようにサイトを再開するには、必要最小限のデータだけは手に入れなければなりません。その最小限のデータを入手してウィルスチェックし、再びワードプレスサイトを構築しなおせばいいのです。
では、最小限のデータとはどれとどれなのでしょうか?
それは、”データベース”と”uploadsフォルダー”の二つです。つまり“データベース”と”uploadsフォルダー”は絶対に消してはいけません。
データベースとは、投稿の内容をはじめ、サイトがどのようなプラグインを使用しているか、サイトがどのような設定をしているか、などの情報が含まれています。
uploadフォルダーとは、ワードプレスの “wp-content” にあるフォルダです。
wordpress
┃
┣ wp-admin
┣ wp-content ━┳ plugins
┗ wp-includes ┣ thmes
………………….┗uploads ←このフォルダ
uploadsフォルダは、主に投稿で使用した画像データをはじめ、各種プラグインが使用したデータなども含まれています。
つまり、これら二つ以外のものは、外部から再入手が可能なので、削除しても問題ないのです。逆に言えば、これら二つのデータは、サイト作成者であるあなたが独自に作り出したものであると言えます。
データベースの取り出し方法
データベースは、”PhpMyAdmin”というソフトを利用して取り出します。
左のデータベースの、information_schema ではない方が、あなたが作成したサイトの情報が格納されているデータベースになりますので、赤い四角の部分をクリックし、選択します。
その後、右の赤い丸で示したエクスポートを選択し、エクスポートします。
あとは示された手順に従っていけばエクスポートすることができます。詳しいやり方は次のサイトを参考にしてみてください。
uploads フォルダの取り出し方法
uploads フォルダは、FTP接続し、フォルダ丸ごとダウンロードすればOKです。たいていは画像などの比較的大きめなサイズのファイルが、非常にたくさんの数、格納されているために、ダウンロードに長い時間がかかるのが普通です。
ダウンロード後は、全体のサイズや、フォルダ内のファイルの数などを、オリジナルと比較して、すべてのデータがきちんとダウンロードできているか、二回、三回確認しましょう。
プラグインやテーマファイルは捨てて新しくする
uploads フォルダがあるwp-content フォルダの中には、プラグインが格納されているpluginsフォルダとテーマファイルが格納されている themesフォルダもあります。
プラグインを一つ一つまた新たにダウンロードするのは非常に面倒なので、ついついこれらもバックアップして、一気にインストールしたい誘惑にかられるでしょうけども、特にファイル改ざん被害にあった場合は、こうしたプラグインやテーマファイルも書き換えられている可能性が非常に高いので、思い切ってプラグイン、テーマフォルダも捨ててしまいましょう。
万が一、これらが改ざんされ書き換えられていることに気づかずに、これらのデータを利用して再びサイトをレストアしたとしても、すぐに仕込まれたプログラムが悪さをして、サイト全体をダウンさせてしまいかねません。
実際、一度、ファイル改ざんの被害にあったサイトは、侵入突破が簡単だ認識されるために、しばらくの間、同じハッカープログラムから繰り返し標的にあいやすくなります。
よって、 プラグインやテーマファイルは、必ず捨てて、新たにダウンロードした最新のものを使用するようにしましょう。
クリーンインストールを始める前に
手元にデータベースのデータと、uploadsフォルダのデータの二つが用意出来たら、いよいよクリーンインストールの開始です。
しかしその前に、まだやることがあります。
インストールしようとするサーバーから、すべてのデータが削除されたかを確認しましょう。もしサーバーに初期化のメニューがあれば、サーバーを初期化することを強くお勧めします。
というのも、電子データは、削除して見た目は消えてなくなったように見えるかもしれませんが、しばらくの間、消えずに残っていることがあります。
よって、削除した後に、まったく同じ場所にインストールすると、前のデータがそのまま復元されてしまうということがまれに起こります。
そうしたことを避けるためにできる方法は、
・インストールする領域を初期化する
・今までと違うディレクトリを作成しそこにインストールする
・削除して長時間放置したのちにインストールする
という三つの方法が考えられます。言うまでもなく上記二つの方法は比較的に安全に感染データを除去できますが、三番目の方法は、あまり安全ではありません。どうしてもほかにサーバーを確保できない場合、やむを得ず選択する最終手段だと心得てください。
クリーンインストールの手順
さて、やっとここからがクリーンインストールとなります。といっても非常に簡単なので、安心してください。
今からやることを簡単にまとめると次の通りとなります。
- データベースを作成し、バックアップしてあるデータベースをインポートする
- ワードプレスのプログラムをアップロードする
- wp-contentフォルダの中にバックアップしてあるuploadsフォルダをアップロードする
- 今まで使用していたthmeファイルとpluginフォルダをアップロードする
- サイトにアクセスしインストールをする
- インストール後、管理画面よりパーマリンク設定画面に入り、「変更を保存」ボタンをクリックする
これが全ての手順です。
通常のワードプレスのインストール手順とほぼ同じですが、違う点は、バックアップしていたデータベースを読み込ますことと、バックアップしていたフォルダをアップロードする点です。
そして最後に注意したいのが、インストール後に、かならず設定画面から、パーマリンクの「変更を保存」をクリックすることです。
このクリックを忘れると、トップページ以外アクセスできない状態になります。
まとめ
サイトがハッキングされて改ざんされているから削除しろ、と言われれば、初めての人は大慌てすることでしょう。
クリック一つでサイトを丸ごとバックアップしてくれるプラグインなどもありますが、もしあなたのサイトが改ざんされていて、マルウェアなどに感染されているのであれば、感染されたプログラムも一緒にバックアップしてしまうことになってしまいます。
たとえ感染していないとしても、サイト丸ごとバックアップとなると、データサイズも大きくなるために、サーバーのCPUや回線に大きな負担をかけることになりますし、また時間も非常にかかります。
バックアップすればいいものは、データベースとuploadsフォルダの二つだけだと覚えておけば、いざ、何かあった時も、素早く対処できるようになります。
バックアップの方法、どのデータをバックアップすればいいのか、再インストールの手順、こうしたことを理解し、ためらうことなくできるようになることで、何があっても慌てず素早く対処できるようになりますので、ぜひ、ここで、クリーンインストールの方法をマスターしておきましょう。
