サイト改ざん、スパムメールを大量送信の被害に遭いました
サイトが改ざんされている…?!
(※このサイトのことではありません)
先週の木曜日に「メール送信件数の上限を超過しております」という件名のメールがロリポップから届き、「?」と思い読んでみると…
この度、アカウント【△△△.○○○.jp】のWEBサーバーより、【 1,015 】件のメールが送信されたことを確認いたしました。
禁止事項にある1時間あたりのメール送信件数の上限を超過しておりますので、現在、WEBサーバーからのメール送信を制限しております。
すぐに「改ざんだ!」と思いました。しかし、ロリポップには10個以上のサイトを置いていたので、どのサイトから送信されたかがわからない…。サポートにも問い合わせてみたけど、返信は次の日だろうから意味がない。FTPのパスワードをまず変更して、とりあえず自分でファイルを調べていくことに。
そして、あるサイトの中で、見覚えのない不審なフォルダやファイルを次々と発見。WordPress や Movable Typeのファイルにも、変な呪文のようなスクリプトが埋め込まれておりました。
これが巷でよく聞く「クラッキングツールでサイトが改ざんされて、スパムメールを大量に送信させられてしまう」という被害なんですね。全然他人事ではなかった。。。
作業している間も一時間ごとに「メール送信件数の上限を超過しております」のメールが届き続けるので、とりあえず汚染されたであろう1サイトをまるっと削除し、新しく借りたXサーバーへ移すことにしました。それで半日以上の時間を潰し、一度は解決したように思えました。
3日後に再び、スパムメール大量送信…?!
しかし、日曜日にも再び、大量メールの送信があったとロリポップからメールが。。。
それでロリポップに置いているサイトをXサーバーとwpXサーバーへ全部移行させる決心をしました。(確定申告まだ終わってなかったけど…)
合間に仕事や確定申告をしながら移行作業をしたので、2日もかかってしまったけど、ちょっとスッキリ。ロリポップが最近重かったので、XサーバーやwpXサーバーにして快適になりました。
後日、ロリポップのサポートからのメールによると、複数の海外IPからのアクセスが確認されたとのことでした。(不審なファイルは英語でないものもありました…)
メールの送信元となったページも知らせてくれましたが、メールフォームを設置していたページでしたので、悪用された疑いがあるとも書かれていました。真相はわかりませんけど。。。
しかし、ファイルを削除しても、パスワードを変更しても、再度被害が出るのはやはり怖いですね。サポートの方でも不審なファイルを探してくださったようですが、見つからなかったそうです。
あの手この手のハッカーやクラッカーを相手に、サーバー屋さんも大変ですよね。。。
とりあえず、新しいサーバーでは被害が出ないことを祈るばかりです。