2021/11/30、ブログが「403 Forbidden」となりました。
レンタルサーバー会社のサーバーメンテナンスはまだ先だったはずだけど・・・とのんびり構えていたら、ほどなくメールが。
ブログに使っているサーバーが踏み台にされまして、スパムメールが発信されていたようです。「403 Forbidden」はレンタルサーバー運営会社側の緊急対応で、サーバーが凍結されている状態だったのです。運営会社の対応には感謝です。
おそらくは、Movable TypeのOSコマンドインジェクションの脆弱性を突かれたものと思います。即刻アップデートしなかった油断です。情報セキュリティマネジメント試験合格者として、お恥ずかしい限りです。
サポートからの指示に従い、バックアップを取って、サーバー内のファイルをすべて消去、FTP等のパスワード変更、システムにアクセスしたことがあるPCをすべてセキュリティチェックを実行しました。
凍結は解除され、先ほど復旧し終わった次第。
今回、自分に起きたことを説明している記事を見つけました。
公益財団法人石川県産業創出支援機構(ISICO)
【重要】WEBサイト構築ソフト「MovableType」における緊急性の高い脆弱性について
https://www.isico.or.jp/site/itstation/r3mt.html
バックアップをとったディレクトリを確認すると、まさにここに書いてある「.FoxRSF-v1」「.FoxEx-v1」「xxxxx(ランダムな名前).php」「ランダム名なフォルダ(Fox-C等)」ありますあります。この「xxxxx(ランダムな名前).php」なんて100個くらい(苦笑)。
バックアップからこれらを削除してFTPし直すのはチェックしきれず不安なので、新たにMovable Type 7の最新版をアップロードして、
旧バージョンから Movable Type 7 へアップグレードする
https://www.movabletype.jp/documentation/mt7/installation/upgrade/upgrade/
の方法でインストールしました。
バックアップからコピーするファイルはこれで最小限で済みます。コピーするファイルのタイムスタンプは確認しました。
また、データベース上のデータが書き換えられている可能性もあるので、最初の再構築を行う前に、デザインテンプレートに変なものがないか確認しました。
今後は、Movable Typeのアップデート対応は迅速に行うとともに、FTPでディレクトリ内に怪しいファイルが出現していないかを定期的に確認しながら運用していきます。
コメントする