心当たりはあるのですが、方法としてありえるのでしょうか?
Webはステップサーバー
http://stepserver.jp/
で管理していました。
アカウントはドメインと一致するので知られてもおかしくないのですが、パスワードなどは一切公開した覚えがありません。
再発防止のために頭を悩ませています。考えられる可能性と助言をお願いします。
※事件の関係者から検索されるのを防ぐため、当該サイトのアドレスは伏せておきます。
現在説明されている現象からサーバーに侵入されたかどうかは分かりませんが、
アカウントはドメインと一致する
このような状況であれば侵入を試みる事はさほど難しい事ではありません。
単に何万パターンものパスワードを用意してログインを試みるだけですから、現在の計算機の性能とワームなどを利用した攻撃用ネットワークをすれば下手をすればものの数秒で破られます。
この方法で侵入されたのであれば、パスワードをより長く複雑にして侵入される確立を下げるしか対処はありません。
ただ、
パスワードなどは一切公開した覚えがありません。
自分から公開しなくてもウィルスなどに感染しばら撒かれる事やそもそも推測されやすいパスワードの使用、身近な人の犯行など可能性はいくらでもあります。
詳細が分からないので、「可能性としては十分ありえる」と言う以上の回答は出来ませんが。
心当たりの人物
これと、
ウイルスソフトを混入
これは別のお話です。
ウィルスは万全の対策をしていても、感染する時は感染します。
その場合は誰に侵入されたかを特定するのは困難です。
もっとも今回の場合がそれに該当するかは分かりませんが。
ありがとうございます。
「心当たりの人物」は「ホームページのある機能」を停止させるインセンティブをもっており、今回はその機能に関連したウェブページ一つとPHPファイル2つが0バイトになりました。
このため、心当たりの人物が怪しいなとにらんでいます。
直接の回答ではないですが・・・。
> 削除してもバックアップファイルの差し替えのアップロードができません。
というのが、どのような状況か分かりかねますが、サポートに連絡するというのは役に立つかと思います。
上記の症状を伝え、
それらのファイルが、「いつ」「どのような手段(FTPかそれ以外かなど)で」変更されたのか、バックアップファイルのアップロードが出来ないのはなぜか。
といった辺りをサポートに問い合わせてみてはいかがでしょうか。
おそらくサーバー側の記録が残っているかと思いますので。
FTPのアカウントは、推測されづらそうなアカウントでしょうか?もしかしたら、悪意を持った別アカウントの人が、手当たり次第ログイン試行していたりとか・・・。
考えづらいですが。
ありがとうございます。
まず推測はされないと思います。アルファベット5桁+数字3桁です。それほどまで手間をかけて嫌がらせをしてくるとは思えないのですが・・・。
とにかくもう少しあがいてみます。
追記:6月21日0:59 おかげさまで復旧できました。原因不明です・・・。とにかく、みなさんのおかげで乗り切れましたことを深く感謝します。
ディスクがあふれていたということはありませんか?
時間的に日付が変わったところで復旧したということなので、
例えばWebサーバーのアクセスログがローテーションし、圧縮されたためディスクに空きができたのではないでしょうか?
そうであれば今日もまた同じ問題が発生する可能性があるので、
不要なファイルを削除するなどしてディスク容量を確保する必要があります。
FTPの話が出ていますが、その他にもtelnetなどの進入経路があるのではないでしょうか。
レンタルサーバで許される限りセキュリティをいちから見直してみたらどうでしょう。
http://www.ipa.go.jp/security/ciadr/webjack.htm
http://www.ipa.go.jp/security/vuln/20050623_websecurity.html
ありがとうございます。FTPアカウントはドメインとは別でした。心当たりの人物にウイルスソフトを混入されるような行動を取った覚えは無いので、不思議です。