こんにちは。YOSHITAKA(@YOSHITA19704216)です。
お客様から、WordPressのサイトが全部止まったまま自力で直せないとの依頼があったので修正方法を載せておきます。即席で解決方法を提示しておきますが、わからない場合は詳しい人に任せましょう。
- エックスサーバー のWordPressサイトの403エラーが解決できます。
Contents
WordPressの403エラーの解決方法
解決方法だけ知りたい人は、解決方法の欄まで読み飛ばしてください。
現象
突然エックスサーバー の登録ドメイン全てのサイトが次の画面で表示されなくなった。
- アクセスがあったサイトだと、アクセスが急に減っていきます。
- 一つのサイトが侵入されているので、全体に問題が波及する可能性がある。
ということで、個人のメリットもないですし、エックスサーバーも止めざるをえない状況だったので、この状態は早く解決した方がいいです。
問合せの内容
お客様から助けて欲しいとの連絡があったので、ある程度インターネットを探したが、該当するのが対応方法しかなかったため、見立てはできるが詳細を掴めなかったので、エックスサーバー に連絡しました。
****送信メール***
お世話になってます。
サーバーに登録しているサイトがすべて5月21日ごろから急に403エラーが発生しました。
サーバー停止のメールを探したのですが、見当たらないので、原因が分かり次第、再度送付していただくことはできますか?
**********
エックスサーバー から以下のメールを見てくださいとご連絡が翌日に届きました。
- 【エックスサーバー】■重要■ お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について
メールの内容は以下になります。(個人情報は伏せます)
〇〇 様
平素は当サービスをご利用いただき誠にありがとうございます。
エックスサーバー カスタマーサポートでございます。
XserverアカウントID:phf〇〇〇〇〇〇
サーバーID :no〇〇〇〇 (s〇〇〇〇.xserver.jp)
お問合せ番号:xs〇〇〇〇〇〇〇〇
お客様のサーバーアカウントにおいて、セキュリティ関連機関である「JPCERT」から、
フィッシングサイトが開設されている旨の報告が寄せられました。
▼報告のあったURL
——————————————————
http[:]//o〇〇e[.]xyz/wp-content/plugins/d〇〇〇〇/index2.php
——————————————————
これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。
▼サポートにて実施した制限内容
——————————————————-
・当該サーバーアカウントに対する緊急的なWebアクセス制限を実施
※上記処理に伴い、Webアクセスを行うと403エラーとなる状況です。
——————————————————-
スパムメールの大量送信やフィッシングサイトの開設などの『不正アクセス』によるさらなる被害の発生を防ぐため、上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。
不正アクセスの対策と制限の解除手順につきましては、下記をご参照くださいますようお願いいたします。
■目次■
————————————————————-
【1】サポートにて実施したセキュリティ調査について
【2】Webアクセス制限の解除方法について
【3】お客様に行っていただきたい対応内容について
【4】推奨される設定について
————————————————————-
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様の上記サーバーアカウントにおいて
以下の不正なファイル(ウイルス、マルウェアなど)が検出されるとともに、
日本国外からの不審なアクセスを確認いたしました。
/a〇〇〇〇.com/public_html/wordpress/wp-content/themes/〇〇〇〇〇〇.php
/o〇〇〇〇〇〇〇〇ke.xyz/public_html/wp-content/plugins/d〇〇〇〇/〇〇1.php
中略
※「/oe〇〇〇〇〇〇ke.xyz/public_html/wp-content/plugins/〇〇/」配下に他多数の不正ファイルが設置されております
———————————————————— [不審なアクセスログの一部] ————————————————————
[o〇〇〇〇〇〇e.xyz] 103.137.12.174 – – [18/May/2020:09:24:31 +0900] “POST /wp-content/plugins/d〇〇〇〇/s.php HTTP/1.1” 200 20820 “http://o〇〇〇〇〇〇e.xyz/wp-content/plugins/〇〇〇〇y/s.php” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36”
————————————————————
検出された不正なファイルやアクセス先のファイルは不正に設置または改ざんされている可能性が高くございます。
なお、不正アクセスの根本原因は下記2つのパターンに大別されます。
▼不正アクセスの根本原因
————————————————————
(1)お客様が運用中のプログラムにおいてセキュリティ上問題のある致命的なバグ(脆弱性)が存在し、第三者に脆弱性を利用された。
→該当プログラムが「どんなコマンドでも実行可能」である場合、
該当プログラムを経由して不正なコマンドの実行や、
不正なファイルの設置が行えてしまいます。
(2)お客様のサーバーアカウントに関するFTP情報が流出し、
第三者に不正にFTP接続をされた。
→FTP操作自体によるファイル改ざんはもとより、
任意のプログラムを設置することでどんなコマンドでも実行できてしまいます。
————————————————————
お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、
消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用されてしまった可能性が高いものと思われます。
また、今回の調査では不審なアクセスは見受けられませんでしたが、
WordpressなどのCMSの管理画面に対する、パスワード総当りなどによる
国外からの攻撃が多発しております。
CMSをご利用の場合、パスワードをより強固な物へ変更するなど、
念のための対策を併せてご検討くださいますようお願い申し上げます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【2】Webアクセス制限の解除方法について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
次項【3】の [2] に記載しております「サーバーアカウント上に設置された
ファイルの削除」を行っていただき、サポートまでお知らせください。
************************************************************
この度のような不正アクセスの被害に遭われた場合、検出された不正なファイル以外にも、他の不正なファイルやバックドア(不正アクセスを容易とする仕組み)などが設置されている可能性が考えられます。
また、プログラムはその仕組み上、上位フォルダに対するファイル操作(ファイルの設置や編集)も行えてしまいます。
そのため、凍結の解除にあたっては、検出された不正なファイルだけではなく、サーバーアカウント全体のすべてのファイルを削除していただくようお願いしております。
************************************************************
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【3】お客様に行っていただきたい対応内容について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のPCや運用中のサイトのセキュリティ対策は
お客様ご自身にて管理を行っていただく責任がございます。
この度の不正アクセスについて、原因を根絶し、不正に設置されたファイルや
改ざんされたファイルをサーバーアカウント上から完全に駆逐するため、
大変お手数ですが、下記作業をなさいますようお願いいたします。
───────────────────────────────────
[1] ご利用のPCにてセキュリティチェックを行ってください。
———————————————————————-
お客様のご利用PC端末にてセキュリティソフトを最新版に更新していただき、
ウイルスチェックと駆除をおこなってください。
また、Windows UpdateやAdobe Reader、Flash Playerなどの
ご利用PC端末にインストールされているソフトウェアにつきましても、
最新版へ更新してください。
※本件はプログラムの脆弱性に起因する不正アクセスの可能性が高い状況では
ございますが、念のため上記ご確認をお願いいたします。
───────────────────────────────────
[2] サーバーアカウント上に設置されたファイルを全て削除してください。
———————————————————————-
お手数ですが、下記の手順にて「独自ドメイン」「初期ドメイン」、および
「その他のフォルダ」に設置されたファイルの削除をお願いいたします。
※この作業による、データベースの初期化・削除はございません。
【!】ご注意ください
下記の作業により、お客様のサーバーアカウント上に設置されている
ホームページデータやメールデータおよび各種設定がすべて削除されます。
画像、プログラム、設定ファイルやメールデータ、メールアドレス一覧などの
必要なデータは事前にバックアップを取った上でご対応ください。
————————————————————
◆「独自ドメイン」のデータ削除について
「サーバーパネル」→「ドメイン設定」より、設定中のドメイン名を
すべて削除してください。
※オプション独自SSL証明書が設定されているドメインに関しては
「ドメイン設定」より対象ドメインの「初期化」より
「ウェブ領域・設定の初期化」をご利用ください。
◆「初期ドメイン」のデータ削除について
「サーバーパネル」→「ドメイン設定」へアクセスしていただき、削除が不可能な初期ドメイン名を「初期化」してください。
※「ウェブ領域・設定の初期化」をご利用ください。
◆「その他のフォルダ」のデータ削除について
FTPソフトや「ファイルマネージャ」でサーバーアカウントを参照し、
アクセスした際に表示されるフォルダが以下のみになることを
ご確認ください。
・「初期ドメイン名」のフォルダ
・(オプション独自SSLを利用している)「ドメイン名」のフォルダ
・「ssl」フォルダ
上記以外のフォルダやファイルが存在する場合、
FTPソフトやファイルマネージャーにて個別に削除してください。
————————————————————
───────────────────────────────────
[3] [2]をご対応いただきましたら、サポートまでお知らせください。
———————————————————————-
ファイルがすべて削除されていることをサポートにて確認できましたら、
Webアクセス制限解除のお手続きをいたします。
制限解除お手続きは、[2]完了のご連絡をサポートが確認しましてから
早ければ当日中、お時間がかかる場合にも翌日中には完了いたします。
なお、お客様からサポートへご連絡いただく際は、外部フリーメールや
プロバイダーのメールなど受信可能なメールアドレスをご利用ください。
【!】サーバー内にデータが残っていないかご確認ください
当サポートへご連絡いただいた際に、サーバー内にデータが残ったままで
あるため、再度、お客様へデータ削除をお願いする事例が多くございます。
データが残っておりますと、制限を解除することはできません。
サポートにお知らせいただく事前に、前項[2]の作業が
すべて完了していることをご確認ください。
───────────────────────────────────
[4] FTPソフトによるデータアップロードなど、
ホームページ再開のための作業を行ってください。
———————————————————————-
サーバーパネルの「ドメイン設定」より独自ドメインの運用設定を
改めて追加していただき、FTPソフトによるファイルのアップロードや
メールアドレスの設定など、ホームページ再開のための作業を行ってください。
凍結時点のデータは不正に改ざんされているデータを含む可能性やセキュリティ上問題がある可能性がございます。
再発防止のため、セキュリティ上問題のない、改ざんされていないクリーンなデータをアップロードなさいますようお願いいたいます。
※CGIプログラムをご利用の場合はパーミッションの変更にご注意ください。
───────────────────────────────────
[5] 該当ドメインにて設置されていたプログラムにおいて、
脆弱性の調査を必ず行ってください。
———————————————————————-
不正アクセスの原因を明確にした上で、ホームページの運用を再開なさいますようお願いいたします。
※不正アクセスの原因を特定しないままホームページを再開した場合、再度同様の被害に遭う可能性が非常に高くなってしまいます。
◆「WordPress」や「Joomla!」などのCMSツールをご利用の場合、
脆弱性が発表されていない最新バージョンを必ずご利用ください。
旧バージョンのCMSツールには、脆弱性が報告されているケースが非常に多くございます。
また、プラグインやテーマファイルにつきましても、最新のものを新規にインストールしていただくことを推奨いたします。
───────────────────────────────────
[6] 設置されているWordpressの管理パスワード変更してください。
———————————————————————-
WordPressの管理画面より、管理パスワードの変更をお願いいたします。
既に【パスワードが攻撃者によって特定】されており悪用されている可能性が非常に高い状況です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【重要】WordPressの管理パスワードの変更をお願いいたします
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
パスワード総当り(ブルートフォースアタック)による攻撃や、お客様が運用中のプログラムに脆弱性が存在し、
該当脆弱性を悪用され、不正にアクセスの被害にあわれた可能性が高いものと思われます。
※これまでと同じパスワードは絶対に設定しないでください。
また、アルファベット・数字を絡めた、第三者に推測されづらいパスワードをご設定ください。
※念のため、今回不正アクセスが発生しておりましたドメイン以外のWordPressでも、同様に管理画面のパスワード変更をご検討お願いいたします。
───────────────────────────────────
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【4】推奨される設定について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のウェブサイトにてPHPプログラムをご利用の場合、
サーバーパネルの「php.ini設定」にて
「allow_url_fopen」および「allow_url_include」をいずれも
「無効(Off)」にすることを強くお勧めいたします。
◇マニュアル:php.ini設定
https://www.xserver.ne.jp/man_server_phpini_edit.php
※上記設定項目は「外部ファイルを読み込む/実行する」操作に対する可否設定です。
ご利用のプログラムにより、上記それぞれの設定を「On」にする
必要がある場合もございますが、外部からのデータ読み込み等が必要ない場合、
これら設定は無効にしたうえでプログラムをご運用ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
なお、今後、同様の状況が再度確認された場合、さらなる制限を実施する可能性がございます。
不正アクセスによる被害の発生・再発を防ぐための措置でございます。
何卒ご理解くださいますようお願いいたします。
以上、何卒よろしくお願い申し上げます。
ご不明な点などございましたら、お気軽にお問い合わせください。
◆本内容と関連するお問い合わせの際は
必ず『お問い合わせ番号:xsv〇〇〇〇〇〇〇〇』と『XserverアカウントID:p〇〇〇〇』
『サーバID:no〇〇〇〇』を本文に入れて返信してください。
───────────────────────────────────
Xserver ホスティングサービス
解決方法
解決方法の詳細は対応後に時間があれば載せていきます。
- 総攻撃を食らったか、サイトに侵入されたので、サイトストップ
- 対応方法は次の順番
- セキュリティソフトの導入
- データのバックアップ(ファイルジラ使用)
- サーバーアカウント上に設置されたファイルを全て削除
- 「サーバーパネル」→「ドメイン設定」より、設定中のドメイン名をすべて削除
- 「サーバーパネル」→「ドメイン設定」へアクセス、削除が不可能な初期ドメイン名を「初期化」
- 「その他のフォルダ」のデータ削除
- エックスサーバー に連絡
- 必要なファイルのアップロード(ファイルジラ使用)
- WordPressの初期設定もう一度
まとめ
今回はWordPressの403エラーの問題を中心にお伝えしました。
解決方法の詳細は実際に作業後に時間があれば追記します。
