縦長ランディングページの効果測定しませんか詳細へ

テスト用サーバーがハッキングされる

サーバー会社から連絡が来て、契約しているサーバーから外部への不正アクセスしようとしているとの連絡を受けました。テスト系のサーバーでワードプレスが複数入っており、いくつかはプラグインが自動更新されない状態でした。

サーバーとしてはポートはwebとmailとssh関係以外はFireWallでブロックしています。
sshも固定IPからの接続のみとしてサーバープログラムは週に一度更新していたものです。
ログからも怪しいアクセスは見つけられませんでした。

すぐに停止する前に一応何が攻撃しているのか切り分けを行いました。

にて外部攻撃の状況を確認しました。

どうやら外部のワードプレスに対して不正ログインを試みようとしているようです。

まず、wordpressのプラグインが悪さしているならサイトにアクセスさせなければと、Webサーバーのバーチャルドメインの設定をすべて停止しました。

サーバーのネットワークステータスで状況確認です。

netstat -anp | grep :443

外部へのアクセスは止まりません。
Webサーバーが外部にアクセスしているようです。

Webサーバーを停止します。
外部アクセスが止まりました。

どうやらapacheのモジュールが書き換えられたようです。
root権限で実行されたと考えられれ、サーバー放棄です。

OSの再インストール(OSもバージョンアップ)しました。
根本原因がわかっていないのでワードプレスはすべて再インストール、プラグインも再インストールです。
テスト系だったので助かりましたが、本番系ですともっと細かく原因を追う必要があったと思います。

私が管理しているサーバーはいずれもネットワークはこれ以上ポートを空けられない状態で外部FWを入れて運用子ています。それでも今回のようなことは発生しうる可能性があり、個別に監視を強化することとなりました。

よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

株式会社ねこすけの代表をしています。
2005年に創業しWebマーケティングを実践するためのコンサルティング、サイト構築、サイト運用、システム開発を行っています。
会員・顧客属性を利用したコンテンツ管理を得意としており、協会サイト、多ブランドのECサイト、会員向けコンテンツサイトなどを構築運営しています。Webマーケティングのパートナーがほしいと感じている方、ご相談ください。
月に1度のミーティングから細かなサイト保守まで必要な部分での対応が可能です。 問い合わせ

目次