当ホームページをアップしているサーバーから
「あなたのサーバーに不特定なログインが見られますので緊急的にパスワードをロックしました」
みたいな文章でメールが届いた。
※今メールを調べたら1月10日にメールが来てました。内容は下記のような感じ
------------------------------------------------------
弊社サービスをご利用いただきまして、まことにありがとうございます。
お客様にご利用いただいているレンタルサーバにおいて内部調査を
行ったところ、不審な海外ホストからお客様アカウントを利用したログイン
が複数回行われているように見受けられました。
パスワード情報漏洩による悪用である可能性が非常に高いと考えられたため、
まことに勝手ながら ログイン(FTP)パスワード の強制変更を緊急措置として
実施いたしました。
お客様側にて上記ログイン履歴にお心当たりが無い場合には、お客様ご利用
のパソコンがウイルス・スパイウェアなどに感染したことでパスワード情報
が漏洩した可能性もございます。
ご利用パソコンのセキュリティチェックなどをあわせて実施することを強く
推奨いたします。
お手数とは存じますが、お客様にて事実確認や調査などを実施の上で、必要
に応じてサーバパスワードの再発行をお願いいたします。
--------------------------------------------------------
とのこと
HPの管理人としては失格なんだろうけど、この時点では
「なんだか気味が悪いけどパスワード変えとけば大丈夫だろう」
くらいにしか思ってなく、パスワードの再設定をして終わってた。
それからしばらく…
今度は、google.comからメール。
全文英文だったんでスパムメールかな!?と思ったんだけど、書出しが
Dear site owner or webmaster of longride-bikes.com
だったんで、頭悪い自分でも気になり、全文を翻訳してみたところ要は
・あなたのサイトに悪意のあるコードが発見されました。
・あなたのサイトは危険性が高いため閲覧を制限します。
・改善しない限り元には戻しません
みたいなニュアンス。
そこで今まで忘れてた前述のサーバーからのメールを思い出した。
…これは、やられている。
googleで「ロングライド 宇部」で検索してみると
PCで
携帯で
見事に悪質サイト扱い…
HPのソースを見てみると、明らかに自分が入れた記憶の無いモノが2行ほど追加されてるΣ( ̄ロ ̄lll)
どこか関係ないサイトに誘導するような記述。
とりあえずこいつを削除。
他のページも全てチェック。
ほとんどのページに同じような2行が追加されてる。
すでにリンクを貼ってないけどサーバーには残してる過去の中古車のページとかにも書き込まれてたりする。
不要なページは削除し、必要なページはおかしい部分を修正し再アップロード。
これでサイトは元通り。サーバーも1月10日にパスワードを強制変更されてから怪しいログイン履歴がないんで、恐らくパスワードを強制変更される前に改ざんされたんだろうと思う。
ではなぜ、パスワードが盗まれたのか!?これを解決しないと根本的にダメな訳で。
サーバーにログインする自宅と、お店のPCをウィルスチェック…
なんだろ!?パスワードを抜き取ります。みたいな説明文が付いてるプログラムをお店のPCで発見!!
もちろん全て削除しました。
ここまで行い、googleに再審査リクエストってのを送信。
数時間後には先ほどの画像にある一文は消えて、通常にアクセスできるようになりました。
これで大丈夫とは思いますが、前述の悪意のある2行がアクセスしたことによってどんな動作をするのか正直分かっていません。
年末あたりから当HPにアクセスされた方におきましては、一度セキュリティの確認及びウィルスチェックなどの対策をとられることを強くお勧め致します。
パソコンのウィルス対策は各自が責任を持つ。という認識が私にはあります。
でもそれって、ちょっといやらしいサイトとか、怪しいサイトとかの話だと思っていました。
当店のような、健全なサイト(←自分で言うな(笑))ではそういった心配って普通しませんよね!?
今回はセキュリティ対策、HPを管理する責任などを痛感させられました。
以後このような事がありませんよう細心の注意を払ってまいりますので、今後とも宜しくお願い申し上げます。
