アナログレコードの魅力✪昭和の名盤レコードコンサートでご体験ください

遅延しているサーバー料金を８月30日に支払った。

わたし専用に契約しているレンタルサーバーは三箇所。ほかに一つサイトは、友人の私設サーバーに置かれています。ほかに２つローカル、つまり、わたしのパソコンをサーバーにして開発中のサイト。
通常Webサイト作りを頼まれれば、ローカルで作っていきます。実際に完成してからじゃないとインターネット公開は出来ませんし、第三者から観てもらう必要もないのだし、作成中のサイトは無防備な時が長いので隙にスリーパーが忍び込まされるのです。

ロリポップで同時多発した、第三者によるユーザーサイトの改ざん被害に関するご報告 [2013/09/09 20:42 追記] http://lolipop.jp/info/news/4149/ が掲示されました。

ここに、改ざんが大量に起こった、その要因が説明されていた。

・改ざんの原因
簡単インストールを利用して設置された WordPress においてインストールが完了していない WordPress が狙われ、WordPress の管理者権限を第三者に取得されたことで、サーバー上にサーバー構成上の不備を悪用するスクリプトが設置されました。また、wp-config.php のパーミッションが 644 だったことを利用して、設置されたスクリプトによりデータベースの接続情報の取得がおこなわれ、データベース上のデータの書き換えが可能な状態となっておりました。

狙われた中途半端に開いた扉

初心者は手順がわかっていないので、前もってパスワードやら設定に必要な準備をしていない。
これはパソコンの設定をして欲しい、故障したみたい？
ソフトウェアをインストールして欲しい。と頼まれていくと、全ての場面で“パスワードは何にしますか、暫定的設定ですから、わたしが帰った後でご自身で変更しておいてください”といった時、う〜んと悩まれる。
そして、案の定その後も変更してなくて、後々パスワードがわからなくなったんですけどって相談があります。

仕事として受ける身としては、稼ぎとなるのですが忘れたパスワードの復活に料金を・・・ってのは気の毒な思いにも成ります。
でも、ほとんど支払ってくれますね。

しかし、そうでもなかったりする。

ところが、遅延して支払っているサーバー料金は長谷裕二さんのショップサイトの立替費用。
先日より名指ししていますが、９月になってから電話連絡して許可済み。例外の人物です。なにかとユニーク。

さて料金支払いが遅れているので、一旦９月10日を〆として請求書を出してあった。
請求書は返ってこないので受け取りは確かだろう。
と、そこに、それに対するものだったのか午後11時18分に電話が鳴った。電話に出たが名乗らない。
深夜となれば緊急の電話かとびっくりするのですが、それだけでも失礼なのに名乗らないし用件を切り出す様子もない。
迷惑なものです。

深夜1時頃に、今まで鹿児島のお客さんと電話していて遅くなったけど、などと『オーダーがあった分をソールドアウトにしておいてね』と上記した口調で電話がかかってきたことも一度じゃない。ろれつが回っていないようなので尋ねれば、ご飯食べながらお酒を飲んでいる。と良か調子。
しかも思い出し、思い出しの怪しさもあって、メールで済ませれば良いことなのにとわたしは心のなかで愚痴るのです。

こちらも、それからサーバー起こしてサイトを修正するのって、何が良い事あるのだろうと思いながら。

迷惑な潜伏者

アマデウスクラシックスのショップサイトは、独立したWordPressが３つインストールして構成しています。

９月８日の夕方に続いて、もう一方のサブサイトをメンテナンス。http://store.amadeusclassics.com/classical/
こちらはクラシックのレコード、CD全般のデータベース代わりとして、長谷裕二さんが前に書いたコメントをもう一度使いたいと要求した時に再び商品データとしてインポートするためにサブサイトとしてのものなので、ユーザー登録は最初から許可しない設定でしたし幸い検索されることなかったのか、コメントは一件もなかったのでスパム対策はしていません。

見るからに改ざんされていた前回に対して、こちらは大丈夫だと思ってました。
ところが気づかれないような改ざんがされています。前回ほどではなかったものの、駆除作業には２時間近くを割いた。

The Latest Theme を削除

ショップサイトを作る時に一番最初に、長谷裕二さんが“ここは重要”といった要望は、ありきたりではない海外のサイトに有るようなデザインで。
よくありがちなことは嫌だったようで。メールに書かれる文章は嫌いだ、とも強調されていた。分かるような分からない表現でした。

サイトを公開してから、原稿を届けてくる人です。
コンテンツを先に作るより、レイアウトにこだわっているようでした。
それで先にテンプレートを幾つか集めた。

好ましいレイアウトのテーマだったので、サイトのデザインを選んでもらうために選んだもののひとつだった。2,012年４月８日のタイムスタンプがある。それ以降のアップデートはなかったものだと思われます。フッターには明らかに通常の書かれ方がなかった。
テスト表示してもフッターは無いデザインだな、と見過ごしたのだろう。


Wordfence Security 3.8.3 をインストールしてスキャン。テーマ“thelatesttheme”のフッターに不審なコードを発見。PHP の実行ファイル。

This file is a PHP executable file and contains an eval() function and base64() decoding function on the same line. This is a common technique used by hackers to hide and execute code. If you know about this file you can choose to ignore it to exclude it from future scans.

このファイルには、PHPの実行可能ファイルで、同じ行のeval（）関数とbase64の（）デコード機能が含まれています。これは、コードを非表示にして実行するためにハッカーが使用する一般的な手法です。このファイルについて知っている場合は、今後のスキャンから除外するためにそれを無視するかを選択できます。

これを削除。

修復の作業

スリーパーのファイルの削除と修正のほかに、セキュリティを2つ実行しました。

1. Timthumb スキャン


2. Wordfence スキャン

実際の作業は以下のとおり。

• Timthumb Vulnerability Scanner をインストール。スキャンでの不正ファイルは発見されなかった。


• 不正ファイルをスキャンして、1日1回定期審査のメール受信をアクティベートする。


• Wordfence Securit をインストールしてスキャン。テーマ『The Latest Theme』のフッターに不審な PHP 実行コードを発見した（ /home/〜/wp-content/themes/thelatesttheme/footer.php ）ので、当テーマを削除。

プラグインとテーマのアップデートと新規インストール

• Jetpack by WordPress.com 2.3.5 → 2.4.2


• WordPress.com Stats 1.8.5 → 1.8.6


• Business lite 4.0.11 → 4.0.14


• TimThumb Vulnerability Scanner 1.53


• Wordfence Securit 3.8.3

今回はアップデートとスキャンだけで事足りると考えていたので、思わぬ時間取られとなりました。
料金はアップデートの手間賃で済むだろうと見積もっていましたが、サイト復旧の特別料金発生です。