FTP情報の流出?


ようやくサイトの復旧目処が立ってきましたが、実はこども動画チャンネルのFTPアカウントに海外から不正アクセスがあり、悪用される自体が発生し、レンタルサーバー会社の迅速の対応で、kodomo-douga.infoドメインへのWEBアクセスが制限(403エラー)されていました。


スポンサーリンク

悪用と言っても、具体的には25番ポート(メール送信ポート)を利用した、
日本国外のメールアドレスに対する大量のメール送信処理です。

このままではスパムメールの大量送信やフィッシングサイトの開設などの
『不正アクセス』によるさらなる被害が免れません。

そこでサーバー会社によって、WEBアクセス制限とFTPアカウントのパスワード強制変更が実施されました。

寝耳に水状態でしたが、具体的にはFTPアクセスが先にあり、不審なphpファイルがルートディレクトリに置かれ、そのphpファイルにWEBアクセスを行い、大量メール送信が実行するように仕組まれたようです。

サーバー会社からの案内では、不正アクセスの根本原因として
1.運用中のプログラムにおいてセキュリティ上問題のある致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。
2.サーバーアカウントに関するFTP情報が流出し、第三者に不正にFTP接続をされた。
の二つが考えられるということでした。

今回の場合、まず日本国外からの不審なFTPアクセスがあり、不審なファイルが設置されたことから
FTPによる不正アクセスの被害が疑われるということ。

対処としては、一度被害が発生した以上、他にもバックドアが設置されていたりする可能性もあることから、全てのファイルを削除するということが余儀なくされました。つまりサイトごと一旦全削除となります。

バックアップはありすぐに復旧はできる状態ではありましたが、ここで気をつけなければならないのが、そもそも何故不正なFTPアクセスが可能であったのか?という原因に対して対処できなければ、復旧後も同じことが発生し得ます。

すでにサイトのカスタマイズは何年も前に完了しており、FTPアクセスの必要性もないことから、新しく交換したMACではそもそもFTP情報を登録さえしていませんでした。

一番疑われるのはローカル端末のウィルス感染によるFTP情報の流出ですが、そもそもローカル端末にはFTP情報が存在しないのです。
つまり、現在のサイトが何らかの脆弱性があり、FTP情報を入手する方法が存在する、もしくは機械生成された不規則な文字列パスワードもブルートフォースアタックで突破されたということもあるのかも知れません。または以前使用していたPCでFTP情報ははるか昔に流出しており、それがたまたまこのタイミングで使用されたなど考え始めたら、キリが無くなります。

結論として、FTP情報が流出したとしても、国内外問わずFTPアクセスを制限する方法で対処するという方法に行き着きました。
今回初めて知りましたが、.ftpaccessというファイルを作成して、制限できるんですね。あいにく固定IPなんて持ってませんから、サイトを格納しているサーバーのIPアドレスを登録して、サーバーのもつWebFTPアプリケーション経由でのみ接続可能としました。

どうしてもローカルから接続してガチャガチャしたいときは、一時的に.ftpaccessを削除して、終わった後にまた設置という、鍵をかける方式での運用に落ち着きました。

それにしても久しぶりにサイトを一から復旧しましたが、忘れていることも多くて、過去に色々サイト制作過程のカスタマイズやエラーをまとめておいてよかったです。


スポンサーリンク


コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)