2017年のデータ改ざん被害、そして回復のプロセス

2018年11月12日

 

私のサイトの1つが、2017年2月ぐらいに問題になった「データ改ざん」の被害に遭っていました。

遭っていました・・・・というのは、恥ずかしながら「改ざんされたこと」に気がついておらず、サーバーさんから連絡があって初めて知ったのです。

連絡を受けてから、対処するまでに2~3日程度かかりました。
その手順を備忘録として記しておきます。

 

「データが改ざんされています」と連絡を受ける

そのサイト(「サイトA」とします)は、2016年の12月末、4記事ほど追加をしたあと、バックアップもとらずにそのまま放置していました。

アクセスもそこそこあったので、あまり気にかけずにいました。

そして3月の初め、

「データベース内に不正な書き込みがありました。調べてください。」

という連絡をサーバーさんからいただいたのです。

返事をする前に調べてみたら、ワードプレスの脆弱性を利用したデータ改ざんという記事がちらほらあります。
「ワードプレスを常に最新に更新しておくように!」という警告も出ていました・・・。

更新を怠っていたがゆえの、データ改ざんです。

私の場合、ワードプレスは自動更新されるまで放っておくことが常です(ズボラ)。
最近、他のサイトは「ワードプレスを更新しました」という連絡が来ていたのに「サイトA」の連絡はありませんでした。

問題があったため更新されていなかったようです。

 

「Hacked By・・・」だけではない!

私が利用しているサーバーは、これ以上被害が拡がるのを防ぐため、海外からアクセスできないように対処されていました。

でも、私は海外在住なので、私自身、自分のサイトにもデータベースにアクセスできません。
そのため、サーバーさんが設置した「.htaccess」ファイルを修正してアクセスしました。

そして、やっとアクセスして調べてみると・・・いろいろと出てきました・・・。
恥ずかしいやら、情けないやらです。

データベース内を「hacked」というワードで検索すると9件ほどの記事が・・・。
サーバーさんからいただいたデータと一致します。

・Hacked By GeNErAL
・Hacked By HolaKo
・Hacked By Imam
・Hacked By SA3D HaCk3D

のような感じです。
これらは、

/?p=401
/403-revision-v1/
/wolf-htm/
/401-revision-v1/
/sh-html/
/by-htm/
/index-html/

といったパーマリンクで追加されていました。
いかにも自然そうなパーマリンクを装っています。
これらの記事はすぐに削除しました。

その後に、ワードプレスが入っていたディレクトリのファイルをすべて削除して、データベースから復元させました。
もちろんワードプレスは最新のバージョンです。

復元が終わって、いざサイトAをふたたび公開する前に、記事をざっとチェックしてみました。
そうしたら他にも怪しいデータの書き込みがあったのを発見したのです。

サーバーさんが調べてくれたのは「hacked」というワードでした。
でもよく見てみると、それだけではないようです。

記事内のリンク部分に巧妙に紛れ込ませて、

・best pharmacy
・lose weight
・belly fast
・continue reading

のようなリンクがありました。

ディレクトリのファイルを削除しただけじゃダメなんですよね・・・。
データベースが問題なのです。

 

記事も削除されている・・・!

さらに、12月末に投稿しておいた4件の記事のうち、3件が消えていたこと、そして、
すでに投稿中だった6つの記事がゴミ箱に入っていました・・・。

しかもその6つの記事というのは、最もアクセスを稼いでいた記事・・・。

ひ、ひどい・・・笑。

いずれにせよ、サイトAの見直しをするつもりでもいたので、

・ワードプレスのエクスポートでとりあえずバックアップをとり、
・データベースの初期化、
・もう一度、ディレクトリ内のファイルを削除

という手はずを踏んで、きれいにやり直すことにしました。

エクスポートしたファイルの記事をすべて確認しながらの投稿し直しです。

 

「Fetch as Google」に助けてもらう

しかしながら、馬鹿なことに、12月末にサイトAを更新した時点でバックアップをとっていません。
だから消されてしまった最新の3記事の原稿がないのです。

データベースの内部にもデータは残っていません。
投稿した記事は消されてしまって更新されたようです。

あちこち探すうちに、該当の記事を見つけることができました。
どこにあったかというと「キャッシュ」ではなく「サーチコンソール」の中です。

12月末に投稿したものは「Fetch as Google」をしていました。
「Fetch as Google」では、いまだに12月に「Fetch」した記録を見ることができます。

該当のURLをクリックすると、以下のような画面が出てきます。
そして、その画面を見ながら原稿をメモ帳に打ち込みました。

 

なぜ手打ちしたかというと、それは、コピペができなかったからです。

でも自分が書いた原稿が取り戻せただけでもありがたいです。

 

キャッシュも削除してもらう

ディレクトリのデータは早い段階で消してしまっていたので、サイトAがどのように表示されていたのか、実は、分かりませんでした。

でも、グーグルのキャッシュから一部見ることができました。
グーグルの検索バーに、

・「http://サイトA.com hacked」
・「http://サイトA.com belly」
・「http://サイトA.com fat」

のように入れてみます。
そうすると、以下のような感じでいろいろと出てきました。

そのキャッシュをたどると、こんな絵ができたり、何も表示されていなかったり。

 

気持ち悪いので、それらに該当するURLをサーチコンソールで削除申請しました。

連絡を受けてから作業が完了するまでに2日半程度でした。
現在、私のサイトAはきれいに回復しています。

 

おわりに

ちょうどサイトの見直しをしようと思っていたので、手間に感じることはありませんでした。
でも、訪問してくれた方はきっと「うわっこのサイトまずいんじゃないの?」と思われたに違いありません。

サーバーさんにもしっかりお礼を述べておきました。
サーバーさん、いつもお世話になりありがとうございます。