ミックスホスト運用ワードプレスのSpamhaus対応

Spamhaus

ワードプレスの新規セキュリティレスキューご依頼をいただきました。上記を見ていただければわかりますが、/wp-content/uploads/に大量のexeファイルがあります。uploadsは、基本的に画像や動画のファイル専用のディレクトリです。ありえない!

教育産業の健全なウェブサイトなのですが、Spamhausのブラックリスト判定を食らってしまい、アズポケット株式会社のミックスホストのabuseチームからレンタルサーバー契約者の方へ対応要請のメールが届いたとの事です。レンタルサーバー契約者の方からレスキュー依頼を頂きました。

ミックスホストからクライアント先の企業へ届いたメール本文

平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。

ご利用の弊社サービス「〇△✕〇△✕.mixh.jp」で運用されております
コンテンツに対し、不正なコンテンツが設置されていると外部からの通報がございました。
該当サイトのドキュメントルートをスクリプトが動作しないよう、public_html配下
「uploads」のパーミッションを0000に変更させていただいております。

パーミッションの設定
https://help.mixhost.jp/hc/ja/articles/115003741972

以下、通報全文となりますのでご確認ください。

IPアドレス/32 is listed on the Spamhaus Block List – SBL
2020-04-✕✕ ✕✕:✕✕:✕✕ GMT | gmo.jp

Malware distribution @IPアドレス

The host at this IP address (IPアドレス) is either operated by cybercriminals or hosting compromised websites that are being used to distribute malware:

https://〇△✕〇△✕.mixh.jp/uploads/〇△✕〇△✕〇△✕〇△✕〇△✕〇△✕〇△✕〇△✕.exe

※上記URL他多数URLございます為「https://www.spamhaus.org/sbl/query/SBL〇△✕〇△✕〇△✕〇△✕」にてご確認ください。

お客様におかれましては、至急ご確認をいただき、コンテンツ管理者としての
ご対応をいただきますようお願いいたします。
※対象ファイルを削除しても他のファイルも改ざんされている可能性もございますので、
アカウント内の全てのファイルをご確認いただきますようお願いいたします。※

改ざんの原因につきましては、弊社サーバーに不正アクセスされた形跡は無く、
お客様のサーバー領域内に設置されたプログラムの脆弱性を悪用したものを思われます。
WordPressをご利用の場合は、必ず最新版にアップグレードし、
テーマやプラグインについても脆弱性が無いかご確認いただきますようお願いいたします。

具体的な対応内容

ファイルマネージャーでウェブサイトの数を確認

ファイルマネージャーで /home/ユーザー名/public_html/ の中に「独自ドメインウェブサイト」、「プライマリドメインのウェブサイト」、「プライマリドメインのサブドメインによるウェブサイト」があるか?それぞれ確認しました。全てワードプレスのウェブサイトで、「プライマリドメインのウェブサイト」、「プライマリドメインのサブドメインによるウェブサイト」については開発で使った後に放置していたということがわかりました。開発後、ダッシュボードの認証を突破されてしまったか、更新されず放置されたことで主にプラグインの脆弱性などにより、大量のexeファイルをアップロードされてしまったと考えられます。バックドアや踏み台など、様々な被害を受けつつ、加害者になってしまっている可能性も否定できません。早急な対応が求められます。

各ワードプレスのデータベースを確認、全削除

「プライマリドメインのウェブサイト」、「プライマリドメインのサブドメインによるウェブサイト」、それぞれのディレクトリ内のwp-config.phpでデータベース名/データベースユーザー名/パスワードを調べた後、ワードプレスのデータベースとファイルを全部削除。独自ドメインのワードプレスのみを残しました。「プライマリドメインのサブドメイン」についてもコントロールパネルのサブドメインでデータベースとファイルをすべて削除しました。

phpのバージョンを7.3に上げる

ミックスホストの契約領域全体でCPANELのMultiPHPマネージャーにて全部php7.3に変更(この記事を書いている2020/5/18の時点でミックスホストはphp7.3まで上げられます)。

ワードプレス本体(コア)、テーマ、プラグインの更新を実行

独自ドメインのワードプレスについても、放置されていた本体(コア)、テーマ、プラグインの更新をすべて実行。define( ‘WP_DEBUG’, false ); の状態では、特にエラー無し。define( ‘WP_DEBUG’, true ); にしてphp非推奨関数などのエラーもつぶすべきですが、「独自ドメインウェブサイト」は近々リニューアルを控えているということで、原因追及なども含めてお金がかかる作業はしないことにしました。

簡易マルウェアスキャンを実施

さらに、iThemesSecurityプラグインのSucuriSiteCheckのマルウェアスキャン( https://sitecheck.sucuri.net )で「独自ドメインウェブサイト」は問題が無いことを確認。

Spamhausへ報告

Spamhausuへ報告したところ、以下の様な返信をもらいました。

——– Forwarded Message ——–
Subject: Re: SBL484310 150.95.52.103/32
Date: Sun, 3 May 2020 21:01:33 +0000

Hello,

Thanks for your email.

You need to contact your Internet Service Provider (ISP) or hosting provider, gmo.jp.

Requests to remove an IP address from the Spamhaus Block List (SBL) must be made by the Internet Service Provider / hosting provider who owns the IP address (see SBL Advisory page).
https://www.spamhaus.org/sbl/query/SBL〇△×〇△×

Please contact your ISP and inform them of this SBL listing. It is possible that your ISP does not know about this SBL listing, or does not realize there is a spam issue with a customer in this IP space, or possibly your Internet Service Provider has not understood that Spamhaus is waiting for them to contact us when they have terminated the issue detailed on the SBL record page.

Thanks for your understanding.

Best regards,
Pete Dawes

SBL Removal Team
The Spamhaus Project
Geneva, Switzerland
https://www.spamhaus.org

ISPかホスティング業者かGMOに連絡してくれ!という事のようです。たしかに、プライマリドメインなので、ミックホストで対応しなきゃいけないですね。

ミックスホストへ報告

ということで、ミックスホスト側には以下の様に報告し、了承をいただきました。

『https://〇△✕〇△✕.mixh.jp/ は関連データベースもファイルも全て削除、余分なファイルやDBも全て削除。phpは全て7.3に変更、WPもテーマもプラグインも最新版に更新、iThemesSecurityのマルウェアスキャンも問題無し』

レンタルサーバー契約者様へお伝え

独自ドメインウェブサイトのリニューアル時に、

  1. ミックスホストの契約しているサーバー領域もデータベースも全部削除する
  2. 旧サイトの記事や画像のコンテンツを引き継がないで新規手入力する
  3. プライマリドメインの開発サイトは削除する

ということをお伝えして対応完了となりました。ただ、2.については、データベースや画像ファイルなどをリニューアル時に引き継ぐ事が実際には一般的だと思います。自己責任で行ってください。案件毎に対応予算の上限もある為、予算に応じた対応を行う事もあります。脆弱性スキャン、マルウェアスキャンなどの記事は改めて投稿していきます。

AWSの記事でコメントをいただくことがしばしばあるため、コメント機能を有効化しました。
ただ、申し訳ないのですが過去のコメントについては、WPの仕様で基本的に表示できません。
そのうち調べて表示します。お気軽にコメントください。