サーバー停止問題、完全解決
2018.04.10
解決しました。

最終的には自力解決出来てました。今回ばかりはコレまでにない規模でしたので、万が一マルウェア等が仕込まれいてたら厄介だと思いサーバー会社に連絡をいれ最終確認していただきました。

結果は異常なし。サーバー上のデータはこっちから解析が出来ないので、せいぜい不審な更新がないかの次元で調べるしかないのです。更新が無かったことから恐らくは問題ないだろうと踏んでましたが、こればっかりは人力で確認しても確定とは至りません。

プラグインの脆弱性をつかれた

具体的に何があったかといいますと、海外から攻撃を受けてサーバーレンタル会社かペナルティとして強制停止。その原因なんですが、とあるプラグインにありました。ただし最新Verです。管理者側からはどうしようも出来ない。そのプラグインは攻撃を受けた後もアプデが2度ほどあり、それも即対応したにも関わらず再停止の措置をくらいます。脆弱性をつかれた。しかもシステムに深く介入するプラグインで、単純にプラグインフォルダを止めるだけでは対処出来ないものだっただけに事態が深刻化しました。2度止められたのはそれが理由です。(今年の1月と3月に止まった際はプラグインやテーマそのもののバグが原因だった)

月5000ヒットあたり

今回かなり調べた感じですと、月に5000ヒットする(botやクローラーを除く)サイト以上から狙われているという印象です。私が管理するサイトは仕事の兼ね合いもあり10以上あるのですが、ヒット数が月5000を越えていないサイトは同じプラグインを導入していたにも関わらず平穏無事でした。また、単にヒット数だけでもないようで「内容そのものが世界的に認知度が高いかどうか」というのもポイントに思われます。World of が狙われたのもその辺りの所以なのでしょう。いずれにしても5000ヒットからはデンジャーゾーン。油断したらアウトです。最も今回も脆弱性を突かれただけで管理において油断はしてなかったのですが。(;´∀`)

ターゲットとなったサイトは現在更新が停滞しており、ヒット数で言うと ゲームSS の方が多いぐらいになってきてます。(ガンオンの認知度よw)また 黒い砂漠 の方が倍以上のアクセス数があるのに対して、優先的に狙われたのは World of で、極端に集中攻撃をくらいましたが、2度目にダウンした際は 黒い砂漠 も攻撃が始まったといった感じでした。上流から下流へという感じで、それらの防御が整うと他のサイトにも飛び火しましたが、その頃には既に対策済な為に被害は出ず。

PHPそのものの脆弱性

今回、PHPのVerも脆弱性に絡んでくると痛感しました。PHPはCMSを動かす際にベースになるプログラムですが、このVerが低いとSecurity上に極めて問題がある。現在、最新稼働中なのは7.1ですが、単純に上げればいいという話でも無いのが厄介なところ。というのも7.1には対応していないテーマやプラグインはあり、かなりSecurityレベルの高いVerですのでアプデするとサイトそのものが動かなくなる可能性を内包しています。その際に自力で設定等をいじる必要があります。また、サーバー会社や契約プランによってはデータベースから設定をいじる必要性があるようです。

World of の方がまさにPHPのVer5.xで現在既にサポートが終了しているVerだったのです。なので単純にプラグインが悪い!といいきれない。ただし 黒い砂漠 はそのVerでは無かったのですが、念のためにVerに上げると、案の定、どっこい別なトラブルが起きました。ページが表示されなくなった。これはサイト全体のテーマデータがそのVerのPHPに対応していない現象でした。幾つか試しましたが「結構対応していないテーマがありました」、その結果、変えることに。また、その際に幾つかデータを直接弄る必要もあり、PHPの設定も変更を余儀なくなれました。

結果

プラグイン等が最新Verでも、バグじゃないけどトラブルはある!!PHPの脆弱性は盲点になりがち。出来る限り7.1へ対応が望まれるが、その際にブログに入れなくなったり表示されなくなったりのトラブルは覚悟しておくこと。大規模にとめられた際は、対策後には必ずサーバー会社へ安全確認をしてもらうこと。
共通 お問い合わせページ の設置
2018.04.08

全サイト共通のお問い合わせページを設置しました。
ジュゲのホームページ 総合トップメニューは既に置き換え済みです。
その他、ゲームサイトについても同じページに飛ぶように設定いたしました。
WordPressをはじめとしたCMS系のサイトにおけるフォームメールが案外脆弱性を突かれやすいことが今回わかり、これまで通りの技術の方が安全ではなかろうかと、実験的に実施いたしました。
フォームメールに抵抗がある方はゲストブック・ジュゲの庵に書き込んでいただいても構いません。
World of ジュゲのSSぶらり旅 および 黒い砂漠SSぶらり旅 復旧
2018.04.08
表題の通り World of ジュゲのSSぶらり旅 および 黒い砂漠SSぶらり旅 の二つのサイトを復旧させました。

サーバー会社からのペナルティ解除後も自主的に「閲覧不可状態」を維持し、丸1日ほど原因究明のため対応、恐らくもう大丈夫だろうと判断しました。なお、本件トラブルは来場者側にとっては「閲覧出来ない」以外の影響は無い類ものです。ご安心下さい。原因を確実には特定出来なかった為、この2サイトは再度停止する可能性を内包しております。止む終えず現在レンタルサーバー会社の担当者に特定を依頼中です。

当サイトの障害情報は、このページ ジュゲのホームページ にて公開しております。RSSも出力してますので、何か「おや?アクセス拒否された」とか「表示されないぞ?」と思った際は閲覧下されば助かります。寸断レベルでは記事を上げませんが半日以上ダウンするような場合は書いていきます。

お問い合わせページ の見直し

現在、各サイトに お問い合わせ ページを設けておりますが、このサイトや一部サイトでは実験的に閉鎖しております。今後、お問い合わせは「ゲーム情報交換広場」もしくは「ジュゲの庵」の掲示板で受け付けることをベースに考えております。何かありましたらそちらまでご一報いただけると助かります。

黒い砂漠SSぶらり旅 の見直し

今回障害の要因である大元がPHPの脆弱性による疑念がありVerを上げました。結果、 黒い砂漠 で使用しているテーマが対応していないようで正常に画面を描画出来ないことを確認した為、止む終えずテーマおよびレイアウトを全て見直すことにしました。(思えば今年の1月もこのテーマがバグっていた)見慣れていた方はすいません。私個人はあのスタイルがブログのテーマに合致しており、気に入ってもいたので残念です。

Wolrdof のテーマは正常に動きましたので現状維持。ただ、このテーマには幾つか疑念を捨てきれないので唐突に変えるかもしれません。ご容赦願います。毎日閲覧くださった方にはご面倒をおかけいたしました。
現在アクセス出来ないサイトについて
2018.04.07

World of ジュゲのSSぶらり旅 および 黒い砂漠SSぶらり旅 の二つのサイトが現在ダウンしております。一両日中には復帰予定ですが、再びダウンする可能性があります。現在サーバー運営会社に対応を問い合わせており、根本的な問題解決に取り組んでおります。ご面倒をおかけしますが今暫くお待ち下さい。
お問い合わせ について
2018.04.04

スパマーのせいでWebサーバーを介してのメールを全サイトで制限されております。明日に解除することは可能なのですが、そもそも当サイトで使われることが無かった部分でもありますので、このまま制限状態を保持しようと思います。何せスパマーに悩まされることは2度と無くなりますので。何かありましたら ゲストブック の ジュゲの庵 にて書き込んで下さい。( ー`дー´)ノ シュタッ ま~問い合わせなんて無いからw

World of ジュゲのSSぶらり旅 は現在もトラフィックオーバーのアクセス制限中ですが、ココも元々しばらくは放置予定でしたので、そのままにする予定です。今年頭のWordPress問題から全サイトのテキスト情報は全てバックアップしておりますので、いよいよ面倒になったら World of は潰して統合させるつもりです。
World of のブログについて
2018.04.04


今朝方からアクセス集中によりダウンしております。
これは仕様であり正常なサーバー対応です。
昨夜対策済ですので一両日中にでも復帰すると思われますが・・・果たして。

スパマー・ウォーズ最新作

2018/4/3 21:30~ 4/4 4:30 にかけこのサイトを利用して大量にメールが送られるという事態に気づきました。丁度、病み上がりでしてメール等をろくすっぽチェックしていなかったため寝る直前まで気づかず。まさかここからド深夜までスパマーとの遙かなる戦い。スパマー・ウォーズ スピンオフ作品がお届け出来ることになるとは。

ハックされた!?

自己環境に異常は無いので問題ないはず。
念のためにマスターパスワードから何から何まで全て変更する。
ログイン履歴やサイト更新履歴等からも、アカウントがハックされたわけでも、サイト内に何か勝手に埋め込まれたわけでも無さそう。となると・・

メールを盗まれた!?

ところがこのサーバーにはメルアドが2つしかない。共にデフォで自動生成されるもの。
全く利用していないのだ。そもそも外部へ一切公開もされていないアドレス。
1つは全くメールが溜まっていないが、もう1つは何故かメールが沢山未読で溜まっていた。
スパムである。
このパスワードも変更。ただ、受信は制限出来ても送信というのは制限出来ない。この時点で面が割れている(ネールサーバー等の内部データを知られている可能性がある)としたら、メールアカウントそのものを削除しない限りどうしようも出来ないと判断。どうせ使うつもりがないアドレスだったので削除する。ところが・・・

WordPressのウィジェットがガンだった

まだ終わらない!!深刻な問題を上流から対処していって最後に残ったのはWordPress。今年2度のエラーで面食らったのは記憶に新しいが、そもそも常に最新の状態を保っている。しかも即アップするとバグでサイトが止まる恐れもあるので(黒砂漠がそれで苦労した)わざわざ2日ぐらい遅れてアップさせるという始末w ところが・・・調べてみて、寧ろ最初からその可能性が最も高かったと判明。

厄介なのは、この問題は特定のウィジェットによるトラブルではなく。かなり広範囲なウィジェットで起きているようだ。フォーム系のウィジェットを悪用され大量に送信されるものや、外部のSNSアカウントと同期させる系統のもので、その入口からサイトそのものを乗っ取られ改ざん、仕込みまでされるものまでと実に広範囲である。

後半の案件なら最悪。ただファイルのアクセス更新履歴からすると改ざんの傾向は見られない。慌ててウィジェットを調べてみると・・・「あ・・・w」まさかの更新していないウィジェットがたった1つだけポツンと。(;´∀`) しかもコイツが「フォームメール系ウィジェット」。これまでの公式=安全はまるで当てにならない時代となったことを再確認する。黒砂漠のトラブル時もテーマを開発している公式アプデだった。

アプデをかまし、念のために停止させてみる。恐らくこれで間違いないだろう。ネットにはキャッシュがどうしても残るので1日か数日はキャッシュを通してやられるかもしれないが以後は大丈夫だろう。その関係もありスパマー・ウォーズでアクセスが集中しており止められている。(スパム業者のプログラムがアタックを繰り返していると思われる)そんな顛末です。

震撼WordPress

今回ターゲットされたのは、恐らくこういう流れだろう。ウィジェットに抜け穴を見つける。このテーマをつかっているサイトを絞る。このウィジェットを使っているサイトを更に絞る。(サイトには張り込んでいなかったが、有効化している以上、同じフォルダに必ずある)無作為にプログラムでアタックをかける。既に対策がとられたプログラムなら無効化されるが、とられていないサイトには数千、数万のメールが発信される。というカラクリではなかろうか。

今年頭からWordPressを利用することに疑問を感じつつあったが尚の事濃厚となる。こんなことなら高速で安全、それでいて簡素な無料ブログサービスであるBloggerの方がよくないだろうか?BloggerはGoogleフォトと同一のフォルダーを使っているので以前は上限1GBに達するとTHE ENDだったが、たしか仕様が変更になり、容量の小さいファイルならカウントされないんじゃなかったかな?んー・・・。

理想はいぜんから書いているように公式WordPressサイトでの運用だが、これはこれで容量の天井が結構低いので困る。何れにせよ、昨年記事にしたように テーマ毎にサイトを分ける という方式でWordPressを使うのはリスクが上がることは間違いない。3つぐらいに絞った方が現実的だろう。少なくとも放置がいかに危険であるか改めて実感した。

- CafeNote -