私のサイトが乗っ取り被害に遭った件

概要

・私のサイトhttps://guitarkouza.netが乗っ取られた
・気が付いてすぐにサイトを閉じた
・TOPページとか既存ファイルには手を付けてなかったようだが、謎の商品を紹介するページがたくさん生成されていたっぽい

詳細・経緯

11/20正午過ぎ、私のサイト「ギター講座オンライン（https://guitarkouza.net）」が乗っ取られていることに気が付いた。

トップページはそのままだが、サーバ上に見知らぬファイルがたくさん散りばめられていた。

.Foxとか2g58...みたいな変なファイルがいっぱい

これはやばいと思い、すぐさまレンタルサーバのさくらインターネット社に報告。改ざんされたサイトがウィルスや詐欺などの温床になるとまずいので、ファイルを思い切って全消去してパスワードを変更しておいた。

その後、さくらインターネットの管理画面をみてあることに気が付く。11/16あたりからアクセス数がいつもよりがくっと増えているようだった。

おそらく11/16から乗っ取られた？

ついでにSSHログインのログがさくらインターネットの管理画面から見られるので見てみた。が、私のログイン履歴しか残っていない（11/16のログイン履歴がない）
どうやってあの怪しいファイルをサーバにアップロードしたのか不気味だ。

私のSSHログインしかなかったし、
被害が始まったと思われる11/16はログすらなかった

冷静になり、いったいどんなファイルを仕込まれたのか、google検索してみた。（豆知識：「site:guitarkouza.net」というキーワードでgoogle検索すると、guitarkouza.netドメインのページを検索することができる）

検索結果

私のサイトのテーマは音楽だが、
どうみても私が扱ってないテーマのサイトが・・・
（※念のため商品名とかはぼかしておきました）

先ほどサーバ上のファイルはすべて削除したため、googleのキャッシュをみてみることに。

海パンみたいなアイコンをクリックするとキャッシュサイトが見られる

すると謎の商品紹介ページが・・・

うに・・？

ほかのページキャッシュも見てみたが、似たような商品紹介系のページだった。これは推測だが、偽のECサイトを立ち上げて個人情報の収集を狙ったのか、はたまたアフィリエイト目的でページを作りまくったのか・・・

被害状況

・私のサイト
・私の時間

なお、改ざんサイトにどれだけの人がアクセスしたのかは不明。

良くも悪くも、自分のサイトは趣味のサイトで、日ごろから大したアクセス数がなかったことが不幸中の幸いだったかもしれない。が、やはり気味が悪いことは確かだ。。。

サイトか何かに脆弱性でもあっただろうか。私の知識では分からなかった。サーバ管理会社からの調査報告を待つことにする。

----------------------------

11/22（月）追記：

レンタルサーバの管理会社さくらインターネットさんから調査結果を報告いただいた。どうやらMovableTypeというブログソフトの脆弱性を突かれた痕跡があるらしい。11/6から攻撃はされていたとのこと。

MovableType脆弱性について案内
https://help.sakura.ad.jp/notification/360000338417191/

2021年10月20日、シックス・アパート株式会社から、
Movable Type 4.0 以降のすべてのバージョンが対象となる脆弱性（CVE-2021-20837）が発表されました。
～中略～

XMLRPC API に細工したメッセージを POST メソッドで送信することで、任意の OS コマンドが実行可能となる。

任意のOSコマンドが実行可能、ということはやりたい放題ということ・・？

管理会社からはコンテンツの全削除とパスワード変更をするよう指示があったが、気づいた時点（11/20）で行っていたので、正しい対処だったようだ。

管理会社から言われて怖かったのが、「放置すると迷惑メールの送信や他サーバへの攻撃の踏み台にされたり、フィッシングサイトを設置されたりする可能性がある」という文言。自分だけならまだしも、他者への損害の可能性があるとは・・・恐ろしい。。。

さらに怖いのが、こうした犯罪行為を「お前がやったんだろ」と冤罪をかけられる可能性もあるということ。幸い、管理会社への連絡はしてあるし、警視庁の「不正アクセスに関する情報提供」というメールフォームから報告済みなので、嫌疑をかけられることはないだろう。たぶん。

しかし、インターネットとはかくも恐ろしいものだったとは。。