サーバーのセキュリティー

先日、とうとう私のサーバーがクラッキング被害を受けた。
当ウェブマイスターは大丈夫だったが、他３サイトに侵入を許してしまった。
その３サイト、同じパスワードをつかっていたため、３サイトにも及ぶ被害となった。

被害内容は、前年末に流行したMicrosoft XML コアサービスの脆弱性をついたもので、ページを表示させるだけで強制的にダウンロードが開始され、実行されるというもの。
去年１１月に修正パッチがリリース済みなので、被害は無しか軽微であった。

あらゆるサーバーログを調べ、犯人の大まかな行動や時間や環境を抜き出す事に成功。
サーバーのログを見ると、sshへの侵入が記録されている。suコマンドで他２ユーザーへ侵入したのも記録されていた。
他ユーザーへは侵入していなくて一安心。adminやrootはもちろん無事。
侵入したユーザーのsshコマンドログだけは、しっかり削除されていたが。

ここで教訓。
パスワードは全て違うものにし、被害を最小限に抑える事。mySQLのユーザーも同様。
sshにはアクセス制限を必ず行うこと。この場合、adminとroot以外を禁止することが最低限必要であった。
また、フォルダのアクセス制限もしっかり行い、、ユーザーのルートより上の階層へはアクセスできないように設定。
adminとrootだけは、もちろん除外。

破壊行為が目的でなくて助かった。

次にやっかいなのが、googleの危険サイトリスト入りになったことだった。
検索結果順序には影響ない（一位表示のまま）が、危険を知らせる警告文が表示され、リンクもされない常態となった。
これを正常にしてもらうには、googleのhelpによると、審査の申し込みをする必要があるとなっていた。
リンク先は、英語のサイト。申し込むフォームを見つけるだけでも大変だった。
英語が苦手な日本人なら、無理だと思う・・・・。
そのサイトに、審査をフォームで申し込むよう書いてあっても、そこにはリンクは無いという不親切さ。
やっとのことで、審査申し込みフォームを見つけ、いざ申し込み。というのが昨日。
申し込みは英文で状況を記入するのだが、いくつか例文が掲載されており、そのままコピペして送った。

手順が分からない人のために、手順を書いておきます。
１．最下行にあるボックスに、自分のサイトのアドレスを記入して送信。（http://を覗くドメインのみ）
２．ブラックリスト入りしていれば、そのボックスの下に情報が表示される。
自分のサイトアドレスをクリック。
３．これで表示されているのが、審査申し込みフォーム。
名前、メアド、サイトオーナーチェック、理由記述、補足事項記述、チェック、送信となる。
理由記述は、例文を翻訳機にかけて、該当する内容をコピペでよい。
今現在は、一行目の「サイトを正常化した」という内容のやつをコピペで良いだろう。
ちなみに他は、「おかしなところは無い。無害だ。」といった内容だ。
補足事項は何も書かなくて良い。
送信すると、申し込みを受理したという英文メールが送られてくる。
あとは、審査をまつだけだ。順番待ちとなり、自分の審査の番がくるのはいつになることやら。
審査結果は、メールで送られてくる。もちろん英語。

本日、何故かgoogleの検索結果から警告が削除されていた。
まだ審査が終っていないのに、何故なのだろう。
おそらく、googlebotが自動で認識したのだろう。
それじゃ、審査の意味は・・・・・。
どうせなら、StopBadware.orgからも削除してほしい。なんとも中途半端なシステムにも見える。

全ての作業を終えるのに丸一日以上かかった。ほとんどがサーバーのログ内容をあらゆる角度で検索だったが。
何はともあれ、もう二度とごめんである。

ちなみに犯人はおそらく日本に住む中国人か、日本に居る仲介人を介した中国人。様々なデータからそう判断できた。
ウイルスをばらまいているサーバーは国内ＩＰだが、ＯＳが中国語Windows。
アタッカーのＩＰは国内（ODN）だが、ＰＣのＯＳは英語（アメリカ）。

自サーバーの人は、必ず通る道（クラックされる運命）とも言われている。
そして私も例外ではなかった。