IT関係の話題やその他戯言と日誌

取引先のサイトが改ざんされていた話

2010年から2012年まで勤めていた会社での話。

その会社はサイトの構築なども手がけていまして、
金曜の朝、
取引先のとある会社のサイトにて、サイトが見れないのですがどうなってるんでしょう・・・
という問い合わせがあった。

そこはサイトのリニューアルを手がけていて現在のサイトはある大手通信会社系の共有レンタルサーバーで運営されている。
そのサイトを別のデータセンター大手のレンタルサーバーにリニューアルして移行、というのがうちが請け負っている内容。

で、現在のサイトはFTPでファイルをGETする、ということはしているが基本的にうちは更新していない。
でも現在他に相談できる会社がいないようでうちに相談が回ってきた。

私はその仕事にはぜんぜんタッチしていないのだが担当者があれあれ?と悩んでいるのでちょいと覗いてみた。

なんでも.htaccess やindex.html などいくつかのファイルが更新されているらしい。
しかも朝の6時とかありえない時間に。
ま・さ・か!と思って.htaccess を見てみると案の定、Rewrite でぜんぜん関わりのない.comのサイトに飛ばされている。
そのサイトを見てみるとやっぱり思ったとおりウイルス対策ソフトが警告を出した!w

「改ざんされてます!」
ザワざわ

すぐに担当者が客先に電話を入れるが客先責任者が仕事のイベントで遠くに出張しているとかでうまく捕まらない。
共有サーバーの業者に問い合わせてもらうが進入されたような形跡はないとのこと。
FTPのログを見ると朝6時ぐらいからすごい勢いでFTPでファイルのGET/PUTが行われている。
使われているFTPアカウントはうちで使っているものではない知らないID。
そのIDを使っているのは誰か客先に問い合わせる。するととある大手翻訳会社が以前使っていたIDだということ。
過去にサイトの英語ページを作ってもらったときにその会社に貸したIDということだった。

というわけでその翻訳会社のサイトをGoogleで検索して見て見る・・・
ぶっ、改ざんされてやんのwww
こっちとまったく同じ状態で!飛ばし先も一緒だし!
しかもまだぜんぜん気がついてない模様。。。
電話で知らせるも「え?よくわかんないんですけど?・・・」という状態らしい。
だめだこりゃ。

とりあえずFTPアカウントを整理して使っていないIDを削除してすべてパスワードを変更してもらった。
そしてTOPのindex.htmlと.htaccessを更新して外部に飛ばないようにしてTOP以外のファイルはすべて他に移動して削除してもらった。
これでひとまずはOK。

これはガンプラー攻撃にやられましたね。
翻訳会社がむかしサイトの更新につかったPCがガンプラー攻撃に犯されたサイトを閲覧して
感染しそのときにサイトのFTPのアドレスとIDとパスワードが漏れ翻訳会社のサイトと客先のサイトが被害にあったものと思われる。

っと改ざんの経緯の推測と予想される被害と緊急対策案、今後の対策案を私が作成して担当者から客先に報告してもらった。
アクセスログを解析して改ざんされている間にどのぐらいの人が閲覧したかしらべてもらう。
・・・そこそこの人数が訪れているもよう。
中国からのアクセスがそこそこあったけどそこは判断に悩むところ。
問題だったのが今日が金曜日であるということw
土日の対応はどうするかでちょっとあれこれあった。
結局は緊急に

「このサイトは改ざんされていました。閲覧した方はウイルスチャックをしてください。ごめんなさい」

的な文章のページだけアップして実質サイトを一時的に閉じることにした。
幸いだったのがサーバーの移転作業中であり、もうすぐ移転先に切り替えるところだったこと。
だから移転計画を前倒しして推し進めることになったようだ。
作成中のコンテンツはあとでアップすることにして出来ているコンテンツから出すことを提案したところその方向でいくことになったらしい。

で、数日経ったにも関わらずその翻訳会社のサイトはまだ改ざんされたままになっている。

安い会社を選んでさらに値切りまくったせいで程度の低い会社を使うことになり
それによってセキュリティ事故が起こってしまったという事故であった。

後日談
一応こちらの人員を契約外で休日に稼働させたということで客先に稼働の費用を請求したのだが、
最初は「払います」と言っていたのだが後になって
「そういう予算は確保していないので払えません」とか言ってきた。
なんてことだ。
第三セクター式の某観光系の会社!

Pocket

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

トラックバック URL

https://blog1.nevernothing.jp/archives/13/trackback

関連リンク

広告