■サイトが改ざんされているので対処を相談したい■


後述の通り、ありうる限りの手を尽くしましたが、
原因が分からない状況です。

Fetch as Googleやwgetで見ると、改ざんされた状態で表示されています。
また存在しないページが大量に生成され、インデックスされてしまっています。


同様の例がないかも検索しましたが、見当たりませんでした。
なにかお気づきの点等あれば、ご教示願います。


≪目次≫
・現在起こっている事象
・実施済みの対処
・サーバ仕様など詳細

回答の条件
  • 1人5回まで
  • 13歳以上
  • 登録:2014/04/11 14:35:57
  • 終了:2014/04/18 14:40:07
id:rand198

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 現在起こっている事象
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ユーザーとして閲覧すると正常に表示されるのに、
・Fetch as googleでの確認
・wgetでの確認
をすると、改ざんされた状態で表示されています。


-------------------------------------
表示される内容
-------------------------------------
当サイトのあるページの内容を利用し、改ざんしたページです。

具体的には…
既存コンテンツのHTMLの上部に、
不審なコンテンツ(ローンに関するブログ記事)が載っています。


≪ページの特徴≫
・当サイトから、「過去に」取得したHTMLを利用して作成している模様
 ↑実在している当該ページの内容を変更しても、その変更は反映されませんでした

・ソース内には不審なiframeやjsなどの記載はないが、
 ページ下部に「複数の他サイトへのリンク」が含まれている
 ↑リンク目的のSEOスパム?

・リダイレクトで表示されてないかも下記手順にてチェックしましたが、
 そういった形跡も見られませんでした
 (参考URL:http://sakuratan.biz/archives/837
 1.ブラウザのUserAgentを偽装(Googleボット)
 2.LiveHTTPHeadersでリクエストヘッダ、レスポンスヘッダを確認


-------------------------------------
表示される状況
-------------------------------------

・UAをGoogleBotなど、具体的な検索エンジンに指定して、
 wgetを行った場合のみ、この事象が確認できます。
 ⇒逆に、指定しない場合は正常に表示されます

・wgetするページが、どのページであっても、
 上記の「改ざんしたページ」が表示されます

-------------------------------------
その他気になっていること
-------------------------------------
・「site:ドメイン名」で検索すると、
 作成した覚えのないページが大量に検索結果に表示される
 (こちらもページ名にloanなどのキーワードが含まれている)

 →ユーザーとして普通にクリックすると、404エラーになる
 ⇒但し、このページを直接wgetすると、
  上記事象と同じく「改ざんしたページ」が表示される

━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 実施済みの対処
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
≪利用PC≫
・セキュリティソフトでのウィルススキャン
 …ウィルス等は検出されませんでした

≪サーバー≫
・サーバー内全ファイルのウィルススキャン
 …ウィルス等は検出されませんでした

・サーバー内の全.htaccessの確認
 …特におかしい記載はありませんでした

・FTPログの確認
 …不審なアクセスはありませんでした

・その他不審なファイルが作成されていないか確認
 (改竄例を見て関係しそうなキーワードでも検索。base64など)
 …特に見当たりませんでした

≪Wordpress≫
・Wordpressの再インストール
 …テーマ等もすべて削除し、インストール
・WordpressのログインID/PWを変更
・データベースの変更、ユーザー名/PWの変更
・テーブル名接頭辞(prefix)の変更


━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ その他ツール等での検証結果
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・WEBマスターツールでの表示
⇒ハッキング等の表示もなく、正常に表示/クロールされています。

・GoogleSafeBrowsingでの表示結果
⇒問題なくアクセスできるとの結果が出ました。

・別サーバーに同様のファイルを置いてwget
⇒上記の「改ざんされたページ」は表示されませんでした。


━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ サーバ仕様など詳細
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
≪サーバー≫SuiteX v1

≪CMS≫
サイト:sitedev2(pukiwikiの一種です)
ブログ:wordpress

≪セキュリティソフト≫ESET smart security 7

※4/11 18:25補足
SuiteXが共用サーバーの為、httpd.conf等は利用者側では触れない状態です。

回答(2件)

id:Sampo No.1

Sampo回答回数556ベストアンサー獲得回数1042014/04/11 18:08:06

ポイント50pt

httpd.confファイルの改ざんをチェックされていないようですね。
また、組み合わせて読み込まれる追加設定ファイル(RedHat系のOSなら/etc/httpd/conf.d/以下)が何か追加されていないでしょうかね。

id:rand198

回答有難うございます!

申し訳ありません、記載漏れていたのですが、
SuiteXが共用サーバーの為、httpd.conf等が触れない状態なのです。

他にも何かお気づきの点がありましたら、ぜひご教示願います。

id:snow0214 No.2

snow0214回答回数470ベストアンサー獲得回数1162014/04/12 07:52:01

ポイント50pt

UAによってサイトを切り替えられていることから、Webサーバの設定を改竄された可能性があります。
httpd.confを書き換えられたか、サイトのルートに.htaccessを仕込まれたのではないでしょうか。
http://www.anothersky.pw/skyward/archives/000094.html

あと、この可能性は低いでしょうが、サーバ会社が使っているロードバランサがハッキングされて、UAによって別サイトに誘導されたということも考えられます。この場合、共有サーバの他のサイトも別サイトへ誘導されている可能性が高いです。

下のサイトの「HTTPヘッダー負荷分散 」参照。
http://fenics.fujitsu.com/products/ipcom/catalog/data/1/5.html

  • id:rouge_2008
    ユーザーが触れないファイルが改ざんされているのかもしれませんし、サーバーに報告して調査をお願いした方がいいと思います。

    ※WordPressを設置していたディレクトリに普通のHTMLファイルだけを入れてアクセスしても同様の状態になりますか?(WordPressやsitedev2などのファイルはすべて一旦削除して、新しく適当に作成したHTMLファイルだけの状態で確認してみてください。)
  • id:rand198
    コメント有難うございます。

    サーバに問い合わせたところ、以下の回答でした。
    ・「ユーザが触れないファイル」の改ざんについては、通知が来ていません
    ・まず、サーバ内のファイルを全て削除してください
    ・もしそれでもエラーが出るようなら、技術者チームが調査します

    残念ながら、自分で対処しろということのようです。
  • id:rouge_2008
    普通のHTMLファイルだけでの動作はどのようになっていましたか?
    同様の現象が起きるのでしたら、結果を報告して調査をお願いしてみてください。
    サーバー内のファイルをすべて削除した状態でエラーが出るようなら技術者チームが調査するとの事ですので、結果を報告すれば調査してくれると思います。(ディレクトリが空の状態も試しておくといいです。)
  • id:rouge_2008
    それから、wgetのUAをGoogleBotに指定した時やFetch as googleを実行した時のアクセスログはどのように記録されていましたか?
    GoogleBotについては、本物のアクセスログも確認してみてください。(最近も何回かはアクセスがあったのではないかと思いますので・・・)
  • id:deep_one
    CMSを使っている場合、CMSのシステム自体を書きかえられている可能性もあるので色々難しい…
  • id:rand198
    コメント有難うございます。
    その後の、結果を報告します。

    ・サーバ内のファイルを全て削除してみたところ改竄は消えた
    (サーバの設定が書き換えられたわけではなさそう

    ・WPを入れ直すと、ちょっと経ってから再改竄された
    (時限型?アクセスログ確認したところ、入り込まれた形跡なし


    その為、再度WP、sitedev2の入れなおしを
    行い下記対応しました。

    [対応]
    --------
    ・パーミッションを厳しく設定
    ・WPを入れているディレクトリ名を変更
    ・FTP,DB,WPのアカウント変更
    ・プレビューできないjpg画像を削除(中身確認し、ソース入ってなかったですが怪しかった為

    対応後1日経って改竄されてない事が確認できた為
    現在、動向を見守っているところです。
  • id:fiwa
    もう対処済みの様子ですが、"Payday loans hack"とか"Pharma hack"などと呼ばれるWordPress等をターゲットにした改ざんのように思えます。改ざんの手法には実に色々なやり方があるようなので、参考にはならないかも知れませんが、こちらにいくつか例がありました。
    http://aw-snap.info/articles/spam-hacks.php
  • id:standard_one
    >存在しないページが大量に生成され、インデックスされてしまっています。

    無いページがあるってことはDNS書き換えられてるんじゃないの?

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません