異変に気がついたのは12月28日の早朝。
このサイトを開くも画面は真っ白。
開かれたページのソースを見るとbodyタグの後に見知らぬJava Scriptのコードが。
・・・改竄されていました。
頭の中は??
ウイルスソフトも常駐させているし怪しいサイトも見ていないのに何故?

寝起きの頭をフル回転させてようやく思い出しました。
前々日に知人の某サイトを開いた時にAcrobat Readerが勝手に開いたことを。

この日は早朝から重要なミーティングがあり原因に辿り着いたのは午後になってから。

昨年の初めに猛威をふるった、「GENOウイルス」などと呼ばれているAdobe ReaderやFlash Playerの脆弱性を突くウイルスに感染していたようです。
このウイルスに感染するとFTPのパスワードを盗み取られ、勝手にWEBサイトにアクセスして上記のScriptを埋め込むそうです。
埋め込む対象ファイルはindex.htmlやindex.phpなど、どのディレクトリでWEBを開いても開かれるページです。

原因が分かった所で対応策の実施です。

年末の忙しい中、この日はまとまった時間が取れません。

WEBサイトを運営している者として真っ先に行うべきは、更なる感染の防止です。
すべてのデータをサーバ上から削除すればよいのです。
これで感染拡大にはなりませんから。

昔のように自分のPCでサイトを作りサーバにアップする方法であれば、大元のデータは自分のPC内にあるから削除しても復旧させる方法は簡単ですが、最近のCMSで作るWord PressやMovable TypeはローカルPCが無くても作ることが出来るため大元のデータはサーバからダウンロードしないと存在しないことになります。
こんな事情もありデータの削除を一気に出来ませんでした。

・感染したPCからサーバに接続しない。
・FTPのパスワードを変更する。
・感染していないPCからFTPでサーバに接続する。
・ルートディレクトリのindex.htmlをメンテナンス表示に差し替える。

取り急ぎここまでの作業を行いました。
僕が使っているレンタルサーバはマルチドメイン対応なので、10個のドメインを張り付けてあり結構大変だったのです。

28日の作業はここまで。

29日に行った作業

・MySQLDBのバックアップ
 →これがあれば何かしらの復旧は出来る。
・Word Pressで生成されたxmlファイルのエクスポート
 →一旦、Word Pressを削除して再インストール
 →MySQLDBは無傷だったのでxmlファイルの再生成に成功する。
 →が、キャンプレポを集約していたSLOW CAMP FIELDは上手くいかず、最新データの復旧は叶わず(8月分まで復旧)
 →携帯やWord PressのCMS機能を使ってアップした写真は、Word Pressのwp-contentsフォルダに格納されていることを失念し・・・・消失・・・。携帯以外は元の写真はあるので復旧しようと思えば出来るけど、かなりの工数が予見されるので放置することに。
・MySQLのバージョンを切り替え
 →最新のWord Press 2.9 はMY SQL5以上が必須なので、この機会に現行の4からアップ
 →MySQLDBの削除。バックアップがあるとは言え結構ドキドキの作業
 →バージョン5で設定
・Word Press 2.9のインストール
 →xmlファイルのインポート
 →ここで無事に復旧は出来た。

これに要した時間はなんと8時間・・・・

教訓!!

・OS以外のアプリケーションも常に最新版を維持すべし。
・ウイルス対策ソフトは必須なり。
・記事を書いたらデータをダウンロードする位の頻度を守るべし。

2件のコメント

  1. 暮れの思い出になってしまいましたねw
    お疲れさまでした。
    SLOWCAMPサイトは、次のキャンプをしようってとき、
    情報誌のように利用させてもらってますので、
    こちらでもbackupしておきたいくらいです(笑w
    ミラーしておこうかしらw

    フフ、もう大丈夫ですね。

  2. そう言っていただくと励みになります。
    もっと遊ばないと・・って。
    素データをお送りしましょうか(笑)

    web周りの知識を持っていて助かりますよね。
    復旧させる術を知っているのと知らないでは大違い^^

コメントを残す

メールアドレスが公開されることはありません。