自分の運営するサイトが攻撃されたようです。とあるサイトにおいて運営していたホームページのうち、phpファイル2つとhtmlファイル1つのデータサイズが0になってしまい、削除してもバックアップファイルの差し替えのアップロードができません。


心当たりはあるのですが、方法としてありえるのでしょうか?

Webはステップサーバー
http://stepserver.jp/
で管理していました。

アカウントはドメインと一致するので知られてもおかしくないのですが、パスワードなどは一切公開した覚えがありません。

再発防止のために頭を悩ませています。考えられる可能性と助言をお願いします。


※事件の関係者から検索されるのを防ぐため、当該サイトのアドレスは伏せておきます。

回答の条件
  • 1人10回まで
  • 登録:
  • 終了:2007/06/27 23:20:03
※ 有料アンケート・ポイント付き質問機能は2023年2月28日に終了しました。

回答5件)

id:b-wind No.1

回答回数3344ベストアンサー獲得回数440

ポイント27pt

現在説明されている現象からサーバーに侵入されたかどうかは分かりませんが、

アカウントはドメインと一致する

このような状況であれば侵入を試みる事はさほど難しい事ではありません。


単に何万パターンものパスワードを用意してログインを試みるだけですから、現在の計算機の性能とワームなどを利用した攻撃用ネットワークをすれば下手をすればものの数秒で破られます。


この方法で侵入されたのであれば、パスワードをより長く複雑にして侵入される確立を下げるしか対処はありません。


ただ、

パスワードなどは一切公開した覚えがありません。

自分から公開しなくてもウィルスなどに感染しばら撒かれる事やそもそも推測されやすいパスワードの使用、身近な人の犯行など可能性はいくらでもあります。


詳細が分からないので、「可能性としては十分ありえる」と言う以上の回答は出来ませんが。

id:ReoReo7

ありがとうございます。FTPアカウントはドメインとは別でした。心当たりの人物にウイルスソフトを混入されるような行動を取った覚えは無いので、不思議です。

2007/06/20 23:34:46
id:b-wind No.2

回答回数3344ベストアンサー獲得回数440

ポイント27pt

心当たりの人物

これと、

ウイルスソフトを混入

これは別のお話です。


ウィルスは万全の対策をしていても、感染する時は感染します。

その場合は誰に侵入されたかを特定するのは困難です。

もっとも今回の場合がそれに該当するかは分かりませんが。

id:ReoReo7

ありがとうございます。

「心当たりの人物」は「ホームページのある機能」を停止させるインセンティブをもっており、今回はその機能に関連したウェブページ一つとPHPファイル2つが0バイトになりました。

このため、心当たりの人物が怪しいなとにらんでいます。

2007/06/20 23:43:14
id:mlkc81 No.3

回答回数27ベストアンサー獲得回数2

ポイント26pt

直接の回答ではないですが・・・。

> 削除してもバックアップファイルの差し替えのアップロードができません。

というのが、どのような状況か分かりかねますが、サポートに連絡するというのは役に立つかと思います。


上記の症状を伝え、

それらのファイルが、「いつ」「どのような手段(FTPかそれ以外かなど)で」変更されたのか、バックアップファイルのアップロードが出来ないのはなぜか。

といった辺りをサポートに問い合わせてみてはいかがでしょうか。

おそらくサーバー側の記録が残っているかと思いますので。


FTPのアカウントは、推測されづらそうなアカウントでしょうか?もしかしたら、悪意を持った別アカウントの人が、手当たり次第ログイン試行していたりとか・・・。

考えづらいですが。

id:ReoReo7

ありがとうございます。

まず推測はされないと思います。アルファベット5桁+数字3桁です。それほどまで手間をかけて嫌がらせをしてくるとは思えないのですが・・・。

とにかくもう少しあがいてみます。


追記:6月21日0:59 おかげさまで復旧できました。原因不明です・・・。とにかく、みなさんのおかげで乗り切れましたことを深く感謝します。

2007/06/21 01:02:19
id:jestersera No.4

回答回数16ベストアンサー獲得回数1

ポイント10pt

ディスクがあふれていたということはありませんか?

時間的に日付が変わったところで復旧したということなので、

例えばWebサーバーのアクセスログがローテーションし、圧縮されたためディスクに空きができたのではないでしょうか?

そうであれば今日もまた同じ問題が発生する可能性があるので、

不要なファイルを削除するなどしてディスク容量を確保する必要があります。

id:Yota No.5

回答回数453ベストアンサー獲得回数28

ポイント10pt

FTPの話が出ていますが、その他にもtelnetなどの進入経路があるのではないでしょうか。

レンタルサーバで許される限りセキュリティをいちから見直してみたらどうでしょう。

http://www.ipa.go.jp/security/ciadr/webjack.htm

http://www.ipa.go.jp/security/vuln/20050623_websecurity.html

  • id:notapachi
    >追記:6月21日0:59 おかげさまで復旧できました。原因不明です
    ●これって、大丈夫ですか?何かを仕込まれたりしていませんか?
    ●サーバ上のデータは捨て、ホスティング会社に初期化を依頼、パスワード変更ののちローカルのデータで再構築 した方がよくないですか?
  • id:b-wind
    復旧云々より再発防止のほうが重要だと思うのですが、大丈夫なのでしょうか。
  • id:ReoReo7
    了解しました。


    >jesterseraさん
    ありがとうございます。ディスクサイズは大丈夫です。


    >notapachiさん他

    ありがとうございます。
    そうですね。何かを仕込まれている可能性を考慮しないとだめですね。

    とりあえず今のところ、なんともありません・・・。
    転送がうまくいかない、などのエラーも同時期にあり現在もあるので、どうもファイルサイズを0にしたのも、アップロードが不可能だったのも、サーバー側のエラーだった可能性もありますね・・・。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

回答リクエストを送信したユーザーはいません