IT関係の話題やその他戯言と日誌

最近のコメント

    Twitter

    取引先のサイトが改ざんされていた話

    2010年から2012年まで勤めていた会社での話。

    その会社はサイトの構築なども手がけていまして、

    金曜の朝、
    取引先のとある会社のサイトにて、
    サイトが見れないのですがどうなってるんでしょう・・・
    という問い合わせがあった。

    そこはサイトのリニューアルを手がけていて
    現在のサイトはある大手通信会社系の共有レンタルサーバーで運営されている。
    そのサイトを別のデータセンター大手のレンタルサーバーにリニューアルして移行、
    というのがうちが請け負っている内容。

    で、現在のサイトはFTPでファイルをGETする、ということはしているが
    基本的にうちは更新していない。
    でも現在他に相談できる会社がいないようでうちに相談が回ってきた。



    私はその仕事にはぜんぜんタッチしていないのだが
    担当者があれあれ?と悩んでいるのでちょいと覗いてみた。

    なんでも.htaccess やindex.html などいくつかのファイルが更新されているらしい。
    しかも朝の6時とかありえない時間に。
    ま・さ・か!と思って.htaccess を見てみると
    案の定、Rewrite でぜんぜん関わりのない.comのサイトに飛ばされている。
    そのサイトを見てみるとやっぱり思ったとおりウイルス対策ソフトが警告を出した!w

    「改ざんされてます!」
    ザワざわ

    すぐに担当者が客先に電話を入れるが
    客先責任者が仕事のイベントで遠くに出張しているとかでうまく捕まらない。

    共有サーバーの業者に問い合わせてもらうが
    進入されたような形跡はないとのこと。

    で、FTPのログを見ると朝6時ぐらいからすごい勢いでFTPでファイルの
    GET、PUTが行われている。
    使われているFTPアカウントはうちで使っているものではない知らないID。
    そのIDを使っているのは誰か客先に問い合わせる。
    するととある大手翻訳会社が以前使っていたIDだということ。
    過去にサイトの英語ページを作ってもらったときにその会社に貸したIDということだった。

    で、その翻訳会社のサイトをGoogleで検索して見て見る・・・
    ぶっ、改ざんされてやんのwww
    こっちとまったく同じ状態で!
    飛ばし先も一緒だし!
    しかもまだぜんぜん気がついてない模様。。。
    電話で知らせるも「え?よくわかんないんですけど?・・・」という状態らしい。
    だめだこりゃ。

    とりあえず、FTPアカウントを整理して
    使っていないIDを削除してすべてパスワードを変更してもらった。
    そしてTOPのindex.htmlと.htaccessを更新して
    外部に飛ばないようにして
    TOP以外のファイルはすべて他に移動して削除してもらった。
    これでひとまずはOK。

    これはガンプラー攻撃にやられましたね。
    翻訳会社がむかしサイトの更新につかったPCが
    ガンプラー攻撃に犯されたサイトを閲覧して感染し
    そのときにサイトのFTPのアドレスとIDとパスワードが漏れ
    翻訳会社のサイトと客先のサイトが被害にあったものと思われる。

    っと
    改ざんの経緯の推測と
    予想される被害と緊急対策案、今後の対策案を私が作成して
    担当者から客先に報告してもらった。

    アクセスログを解析して改ざんされている間にどのぐらいの人が閲覧したかしらべてもらう。
    ・・・そこそこの人数が訪れているもよう。
    中国からのアクセスがそこそこあったけどそこは判断に悩むところ。

    問題だったのが今日が金曜日であるということw
    土日の対応はどうするかでちょっとあれこれあった。
    結局は緊急に
    「このサイトは改ざんされていました。閲覧した方はウイルスチャックをしてください。ごめんなさい」
    的な文章のページだけアップして実質サイトを一時的に閉じることにした。

    幸いだったのがサーバーの移転作業中であり、
    もうすぐ移転先に切り替えるところだったこと。
    だから移転計画を前倒しして推し進めることになったようだ。
    作成中のコンテンツはあとでアップすることにして
    出来ているコンテンツから出すことを提案したところ
    その方向でいくことになったらしい。

    で、数日経ったにも関わらずその翻訳会社のサイトはまだ改ざんされたままになっている。
    ・・・

    Pocket

    コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    トラックバック URL

    https://blog1.nevernothing.jp/2016_01_01/trackback/

    公告