会社サイトのデータが一部削除されてしまいました。

削除されたのは、ムーバブルタイプのcgi複数、アクセス解析のcgi、アクセスログ、あるコンテンツ内のindex.html、imagesフォルダ内の画像等です。

運営サイトは他にも複数あるのですが、削除されたのは1サイトのみです。
レンタルサーバー会社に聞いたところ、「FTPで誰かが削除している」「ウイルスではないと思う」とのことでした。
FTPの記録を見ると、私のマシンと思われるアカウントが削除したようなのですが、もちろん私はそんなことはしていません。
ムーバブルタイプの作り直しも痛いのですが、何よりも原因が分からないのが気持ち悪いのです。

これが原因だ、こういうことが考えられる、これからはこうした方が良いなど教えてください。

回答の条件
  • 1人2回まで
  • 登録:
  • 終了:2007/02/27 15:14:29
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答5件)

id:Strada No.1

回答回数18ベストアンサー獲得回数1

ポイント20pt

"質問者のPCが"ウィルスに感染している可能性はありませんか?

FTPソフトも信頼性があるでしょうか?

とりあえず考え付く対策。

1. FTPのパスワードを変更する(可能ならばユーザー名も)

2. 可能であれば他のマシンから作業を行う

作業ミスでないほかの要因であればこれで発生は抑えられると思いますが…情報が少なすぎるので。

id:cacao72

回答ありがとうございます。誰かに答えてもらうだけでも安心します。

マカフィーをインストールしているのですが、ウイルスには感染していないとの結果でした。

・すぐに他のマシンからFTPのパスワードを変更しました。

他情報としては

・社内では私しかFTPパスワードを知らない

・削除された時間は、まさに自分のパソコンの前にいた。

・協力会社でFTPパスワードを知り、作業も行ったことのある人がいる。

・FTPソフトはFFFTP

2007/02/25 21:17:02
id:Kumappus No.2

回答回数3784ベストアンサー獲得回数185

ポイント20pt

これだけではなんとも言えないのですが、サーバ運用会社の言い分が正しいとすると、あなたのアカウントとパスワードが漏洩したか、あるいは力技の総当り攻撃で取られてしまった可能性が高いです。

あと、あなた自身のマシンにバックドア機能をもったワーム・ウイルスが感染していた場合にはクライアントマシン経由からの攻撃も可能になります。もっと単純に、ログインしたままで席を離れたときに誰かがいたずらした可能性もありますけどね。

FTPの記録を見ると、私のマシンと思われるアカウントが削除したようなのですが、もちろん私はそんなことはしていません。

の意味が「私のマシンのIPアドレスからFTPコマンドが実行されてデータが削除されていた」であれば後者ではないかと思います。

後者だとすると

  • クライアントマシンのワーム、ウイルスのチェック
  • 席を離れるときには注意する。WindowsXPなどならば一定時間操作しないとスクリーンセーバー+パスワード要求するように設定する。
  • 面倒でもパスワードなどがオートフィルされないようにする。
  • UNIX系であれば/var/log/messagesなどを見てログを随時確認する。

ぐらいでしょうか。

id:cacao72

回答ありがとうございます。

いたずらされた可能性はないです。

IT用語の理解が中途半端なので頼りないお答えで申し訳ないのですが

「私のマシンのIPアドレスからFTPコマンドが実行されてデータが削除されていた」ということで正しいはずです。

マカフィーだけでなく、他のウイルスソフトでもチェックしたほうがいいと言われましたので、明日実行してみる予定です。

ワームというのもよく分かってないです…。

2007/02/25 21:22:20
id:hamster009 No.3

回答回数3431ベストアンサー獲得回数50

ポイント20pt

ftp ssl(ftps)ができるソフトを使った方がいいと思います。といってもサーバー側が対応してないと使えないですが。

http://www.toxsoft.com/nextftp/

ふつうのftpだと、平文でパスワードが流れますので。

id:cacao72

回答ありがとうございます。

FTPソフトにも色々あるのですね。検討してみます。

2007/02/25 21:23:09
id:kurukuru-neko No.4

回答回数1844ベストアンサー獲得回数155

ポイント20pt

>これが原因だ、こういうことが考えられる、

FTP LOGからアクセス元のIP/ドメイン

等ある程度推定できる考えられます。

もし社内であればなんらかの誤操作の可能性もあり

>これからはこうした方が良いなど教えてください

サイトのカスタマイズ部分はすべて複数世代の

バックアップを違うサーバ等に行い。

サーバーが物理的に壊れても復元できる状態にする。

FTPで管理はパスワードはなんの暗号化もしてません。

最低限パスワードを定期変更、可能なら暗号化通信に

よるサイトの管理方法に変更

id:cacao72

回答ありがとうございます。

誤操作というのは考えられないです。

おっしゃられる通りに、これからはバックアップを複数とっていきます。

いくつか回答をいただき、ウイルス(ワーム?)という線が濃いのかなと思ってきたのですが、1サイトだけが対象になったのが不思議です。

2007/02/25 21:29:55
id:buchahiko No.5

回答回数20ベストアンサー獲得回数6

ポイント20pt

原因は正直分かりません。

接続元のIPアドレスがどこなのか確認された方が良いと思います。

もし質問者の方のIPアドレスであればソーシャルハッキングの可能性も検討されるべきだと思います。


今後の対応については、可能であればrsyncなどでディレクトリ階層毎に同期を取っておくと良いと思います。

cronなどで定期的に実行しておけば自動的なバックアップが可能です。

NFSでマウントするという方法もありますね。

id:cacao72

回答ありがとうございます。

FTPの記録に残っているIPアドレスがどこなのか(社内なのか)聞いてみようと思います。

申し訳ありません。後半の3行はほとんど意味が分かりません。これから調べます。

私は社内WEB制作者ではあるのですが、DWとMTが使える程度でネットワークやらUNIXやらはまるで分かってないです。

2007/02/25 21:39:59
  • id:Kumappus
    あーやっとコメントがあいた。
    ひとつだけ確認ですけど、会社にゲートウェイというかプロキシーというかファイヤウォールというか、なサーバはありませんか?つまり外とのやりとりを必ずそこを介してやっているのではないですか?
    こうなると会社の中のIPアドレスは外に見えているそのサーバのものだけになるので、社内の他の人が操作してもIPに違いは出ません。
  • id:cacao72
    コメントありがとうございます。

    後日談(というか中途報告)

    「私のマシンのIPアドレスからFTPコマンドが実行されてデータが削除されていた」と自信満々に書きましたが、よく見ると微妙に違っていました。すみません…。
    しかも、IPアドレスではなく正確にはホスト名?というのでしょうか?
    p****-ipbf****marunouchi.tokyo.ocn.ne.jpとあるので、状況を説明してOCNに身元特定の調査を依頼しました。
    サイト開設時からアクセス解析にひんぱんに残っているホスト名なので、知人か関係会社ではないかと推理しています。
    とにかくパスワードの管理を厳重に、データのバックアップは三重にを心がけます。

    色々とご回答いただきありがとうございました。
    「はてな」っていいですね!

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません