XSERVERサポートから凍結連絡！？感染したWordPressの復旧方法

平素は当サービスをご利用いただき誠にありがとうございます。
Xserver カスタマーサポートでございます。

サーバーID　：**********（sv11**）
お問合せ番号：xsvc18**********


お客様のサーバーアカウントにおいて、
外部にブルートフォース攻撃している旨、
第三者より報告が寄せられました。

これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ（脆弱性）が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

また、以下の不正なプロセスが多数稼働しておりました。

▼稼働していた不正なプロセス
-------------------------------------------------------
php -q /tmp/sess_php_tmp
-------------------------------------------------------


そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
-------------------------------------------------------
・当該サーバーアカウントに対する緊急的なWebアクセス制限を実施

　※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
-------------------------------------------------------


スパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害の発生を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。

不正アクセスの対策と制限の解除手順につきましては、
下記をご参照くださいますようお願いいたします。


■目次■
-------------------------------------------------------------
【1】サポートにて実施したセキュリティ調査について
【2】Webアクセス制限の解除方法について
【3】お客様に行っていただきたい対応内容について
【4】推奨される設定について
-------------------------------------------------------------


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様の上記サーバーアカウントにおいて
以下の不正なファイル（ウイルス、マルウェアなど）が検出されるとともに、
日本国外からの不審なアクセスを確認いたしました。

[検出された不正なファイル]
------------------------------------------------------------
【略】
その他多数
------------------------------------------------------------

[不審なアクセスログの一部]
------------------------------------------------------------
[socialshare.jp]
【略】

[partners7.net]
【略】
------------------------------------------------------------

検出された不正なファイルやアクセス先のファイルは
不正に設置または改ざんされている可能性が高くございます。


なお、不正アクセスの根本原因は下記2つのパターンに大別されます。

▼不正アクセスの根本原因
------------------------------------------------------------
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
　致命的なバグ（脆弱性）が存在し、第三者に脆弱性を利用された。

　→該当プログラムが「どんなコマンドでも実行可能」である場合、
　　該当プログラムを経由して不正なコマンドの実行や、
　　不正なファイルの設置が行えてしまいます。

(2)お客様のサーバーアカウントに関するFTP情報が流出し、
　第三者に不正にFTP接続をされた。

　→FTP操作自体によるファイル改ざんはもとより、
　　任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
------------------------------------------------------------

お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。


また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordpressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。

CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

次項【3】の [2] に記載しております「サーバーアカウント上に設置された
ファイルの削除」を行っていただき、サポートまでお知らせください。

　************************************************************
　　この度のような不正アクセスの被害に遭われた場合、
　　検出された不正なファイル以外にも、他の不正なファイルや
　　バックドア（不正アクセスを容易とする仕組み）などが
　　設置されている可能性が考えられます。

　　また、プログラムはその仕組み上、上位フォルダに対する
　　ファイル操作（ファイルの設置や編集）も行えてしまいます。

　　そのため、凍結の解除にあたっては、検出された不正なファイルだけではなく、
　　サーバーアカウント全体のすべてのファイルを削除していただくよう
　　お願いしております。
　************************************************************



━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】お客様に行っていただきたい対応内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様のPCや運用中のサイトのセキュリティ対策は
お客様ご自身にて管理を行っていただく責任がございます。

この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや
改ざんされたファイルをサーバーアカウント上から完全に駆逐するため、
大変お手数ですが、下記作業をなさいますようお願いいたします。

───────────────────────────────────
[1] ご利用のPCにてセキュリティチェックを行ってください。
----------------------------------------------------------------------

　お客様のご利用PC端末にてセキュリティソフトを最新版に更新していただき、
　ウイルスチェックと駆除をおこなってください。

　また、Windows UpdateやAdobe Reader、Flash Playerなどの
　ご利用PC端末にインストールされているソフトウェアにつきましても、
　最新版へ更新してください。

　※本件はプログラムの脆弱性に起因する不正アクセスの可能性が高い状況では
　　ございますが、念のため上記ご確認をお願いいたします。


───────────────────────────────────
[2] サーバーアカウント上に設置されたファイルを全て削除してください。
----------------------------------------------------------------------

　お手数ですが、下記の手順にて「独自ドメイン」「初期ドメイン」、および
　「その他のフォルダ」に設置されたファイルの削除をお願いいたします。

　　※この作業による、データベースの初期化・削除はございません。


　【！】ご注意ください

　　下記の作業により、お客様のサーバーアカウント上に設置されている
　　ホームページデータやメールデータおよび各種設定がすべて削除されます。

　　画像、プログラム、設定ファイルやメールデータ、メールアドレス一覧などの
　　必要なデータは事前にバックアップを取った上でご対応ください。

　------------------------------------------------------------
　◆「独自ドメイン」のデータ削除について

　　「サーバーパネル」→「ドメイン設定」より、設定中のドメイン名を
　　すべて削除してください。

　　※オプション独自SSL証明書が設定されているドメインに関しては
　　　「ドメイン設定」より対象ドメインの「初期化」より
　　　「ウェブ領域・設定の初期化」をご利用ください。


　◆「初期ドメイン」のデータ削除について

　　「サーバーパネル」→「ドメイン設定」へアクセスしていただき、
　　削除が不可能な初期ドメイン名を「初期化」してください。

　　※「ウェブ領域・設定の初期化」をご利用ください。


　◆「その他のフォルダ」のデータ削除について

　　FTPソフトや「ファイルマネージャ」でサーバーアカウントを参照し、
　　アクセスした際に表示されるフォルダが以下のみになることを
　　ご確認ください。

　　・「初期ドメイン名」のフォルダ
　　・(オプション独自SSLを利用している)「ドメイン名」のフォルダ
　　・「ssl」フォルダ

　　上記以外のフォルダやファイルが存在する場合、
　　FTPソフトやファイルマネージャーにて個別に削除してください。
　------------------------------------------------------------


───────────────────────────────────
[3] [2]をご対応いただきましたら、サポートまでお知らせください。
----------------------------------------------------------------------

　ファイルがすべて削除されていることをサポートにて確認できましたら、
　Webアクセス制限解除のお手続きをいたします。

　制限解除お手続きは、[2]完了のご連絡をサポートが確認しましてから
　早ければ当日中、お時間がかかる場合にも翌日中には完了いたします。

　なお、お客様からサポートへご連絡いただく際は、外部フリーメールや
　プロバイダーのメールなど受信可能なメールアドレスをご利用ください。


【！】サーバー内にデータが残っていないかご確認ください

　　当サポートへご連絡いただいた際に、サーバー内にデータが残ったままで
　　あるため、再度、お客様へデータ削除をお願いする事例が多くございます。

　　データが残っておりますと、制限を解除することはできません。

　　サポートにお知らせいただく事前に、前項[2]の作業が
　　すべて完了していることをご確認ください。


───────────────────────────────────
[4] FTPソフトによるデータアップロードなど、
　　ホームページ再開のための作業を行ってください。
----------------------------------------------------------------------

　サーバーパネルの「ドメイン設定」より独自ドメインの運用設定を
　改めて追加していただき、FTPソフトによるファイルのアップロードや
　メールアドレスの設定など、ホームページ再開のための作業を行ってください。


　凍結時点のデータは不正に改ざんされているデータを含む可能性や
　セキュリティ上問題がある可能性がございます。

　再発防止のため、セキュリティ上問題のない、改ざんされていないクリーンな
　データをアップロードなさいますようお願いいたいます。

　※CGIプログラムをご利用の場合はパーミッションの変更にご注意ください。


───────────────────────────────────
[5] 該当ドメインにて設置されていたプログラムにおいて、
　　脆弱性の調査を必ず行ってください。
----------------------------------------------------------------------

　不正アクセスの原因を明確にした上で、
　ホームページの運用を再開なさいますようお願いいたします。

　※不正アクセスの原因を特定しないままホームページを再開した場合、
　　再度同様の被害に遭う可能性が非常に高くなってしまいます。


　◆「WordPress」や「Joomla!」などのCMSツールをご利用の場合、
　　脆弱性が発表されていない最新バージョンを必ずご利用ください。
　　旧バージョンのCMSツールには、脆弱性が報告されているケースが
　　非常に多くございます。

　　また、プラグインやテーマファイルにつきましても、
　　最新のものを新規にインストールしていただくことを推奨いたします。

───────────────────────────────────


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【4】推奨される設定について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

お客様のウェブサイトにてPHPプログラムをご利用の場合、
サーバーパネルの「php.ini設定」にて
「allow_url_fopen」および「allow_url_include」をいずれも
「無効（Off）」にすることを強くお勧めいたします。

◇マニュアル：php.ini設定
　https://www.xserver.ne.jp/man_server_phpini_edit.php


※上記設定項目は「外部ファイルを読み込む/実行する」操作に対する可否設定です。

　ご利用のプログラムにより、上記それぞれの設定を「On」にする
　必要がある場合もございますが、外部からのデータ読み込み等が必要ない場合、
　これら設定は無効にしたうえでプログラムをご運用ください。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━


なお、今後、同様の状況が再度確認された場合、
さらなる制限を実施する可能性がございます。

不正アクセスによる被害の発生・再発を防ぐための措置でございます。
何卒ご理解くださいますようお願いいたします。



以上、何卒よろしくお願い申し上げます。
ご不明な点などございましたら、お気軽にお問い合わせください。



◆本内容と関連するお問い合わせの際は
必ず『お問合せ番号：xsvc18**********』と『会員ID』『サーバID』を本文に入れて返信してください。

───────────────────────────────────
エックスサーバー　ホスティングサービス
　◇URL ：https://www.xserver.ne.jp/
　◇E-Mail：[email protected]
　◇TEL ：06-6147-2580（平日10時00分-18時00分、土日祝休）

　ご不明な点につきましては、まずはこちらをご参照ください。
　◆　https://www.xserver.ne.jp/manual/
──────────────────────────── Xserver ──