エックスサーバー,不正なアクセスの検知および制限の実施,メール

• 
• 
• 
• 

少し前の話なんですが、エックスサーバーさんから

 

「【エックスサーバー】■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について」

 

というタイトルでメールが来て焦りました。

 

 

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ（脆弱性）が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容
-------------------------------------------------------
・当該サーバーアカウントにおいて、国外からのアクセスを制限

※上記処理に伴い、国外から当該サーバーアカウントへのアクセスが403エラーとなる状態です。
国内からは通常通りアクセス可能です。

-------------------------------------------------------

さらなるスパムメールの大量送信などの『不正アクセス』による被害の拡大を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。

国外アクセス制限の解除をご希望である場合には、
お手数ではございますが、ご利用の各プラグイン、テーマファイルについて
下記の点をご確認いただき、原因の特定・対処を行われた後、
当サポートまで詳細をご報告いただければと存じます。

 

自分のサーバーを介して大量にメールを送信してるってこと？？？

 

よくわからなかったですが、国外からのアクセスを制限しているとのことで、とりあえず対応です。

 

ちなみに国内からのアクセスは制限されていませんでした。

 

なので、別に急いで対応する必要はなかったのですが、別件で急きょ必要になりました。(*_*;

 

 

 

 

対応

メールの中段のほうに

 

 

 

1.reCAPTCHAを導入する

2.配布元等で脆弱性が公開されていないかどうか

3.古いバージョンのまま利用していないかどうか

※脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、
不正アクセスの対象として狙われやすくなってしまいます。

4.ファイルの改ざん、不正ファイルの設置がないかどうか
------------------------------------------

問題がないと判断しましたら
当該サーバーアカウントの国外アクセス制限を解除いたします。

 

と、箇条書きで書いて下さっています。

 

（ちなみに画像下のほうは、どのドメインが攻撃（？）されたか載っています。

僕は複数ドメインを持っていますが、少しでも稼働させているブログは全部攻撃されていました。）

 

さらにメール下へいくと、

 

 

なお、不正アクセスの根本原因は下記2つのパターンに大別されます。

▼不正アクセスの根本原因
------------------------------------------------------------
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある
致命的なバグ（脆弱性）が存在し、第三者に脆弱性を利用された。

→該当プログラムが「どんなコマンドでも実行可能」である場合、
該当プログラムを経由して不正なコマンドの実行や、
不正なファイルの設置が行えてしまいます。

(2)お客様のサーバーアカウントに関するFTP情報が流出し、
第三者に不正にFTP接続をされた。

→FTP操作自体によるファイル改ざんはもとより、
任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
------------------------------------------------------------

お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。

また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordpressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。

CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。

 

消去法で先ほどの1～4の提案ってことでしょうか。

 

この1～4を簡単なモノから対処していきました。

 

 

1・・・わからなかったので一旦スルー。

 

2はテンプレートやプラグインのインフォメーションを確認。

特になし。

 

3は更新していないプラグインがたくさんあったので、バックアップをして全て更新。

 

4はFTTPから変なファイルがないか目視チェック。

素人なので、攻撃を受けなかったドメインと比較してチェックしました。

問題なし。

 

で、また1に戻ってreCAPTCHAについて調べ、導入しました。

 

テンプレートやプラグインによって変わるので、少してこずりました。

 

 

エックスサーバーのカスタマーサポートへ報告

 

完了後は来たメールにそのまま返信。

 

 

1時間後エックスサーバーさんからご丁寧に返信。

 

お忙しい中ご返信いただき恐れ入ります。

それではしばらくサーバーの状況を監視いたしまして
問題のない水準にまで改善されておりましたら、
今回実施いたしました制限の強化を解除、
または段階的な緩和を実施いたします。

サーバー状況の調査には数日～１週間ほどの時間を要しますので
しばらくお待ちくださいますようお願いいたします。

恐れ入りますが、何卒よろしくお願い申し上げます。

 

いったん、数日から1週間ほど待機とのこと。

 

ちなみにサーバーとは関係ないことで気になったことがあったので、もう一度返信したら1ラリーだけ雑談に乗ってくれました。優しい。笑

 

 

エックスサーバーさんから完了通知

4日後、メールがきました。

 

 

負荷状況の監視を続けておりましたところ
問題のないレベルまで改善されておりましたので
今回実施いたしました制限を『解除』いたしました。

現在は通常のご利用が可能な状態でございます。

なお、今回実施していただいた負荷への対策については
このまま継続していただくようお願いいたします。

 

 

無事、完了しました。

 

 

↓エックスサーバーからまたメールが来た

 

またエックスサーバーから2回不正アクセスのメールが来た話

• 
• 
• 
•