>>現在 6 人のゲストがご来店中です。

ns27のサーバーでハッキング犯罪事件がおきました。

先日、9/23の14:30頃、ns27のサーバーにてハッキングによるwebサーバー内のお客様フォルダ内のデーターが削除されるという犯罪事件が起こりましたので、順を追いまして事の詳細を記載します。

9/23
14:30頃、CMSの脆弱性をつかれ、サイトの内部にハッカーよりプログラムを仕掛けられる。
14:43-47 そのプログラムと、energyoflife.ca(124.217.251.89)のサーバーより、サーバーのデーターのランダム削除が始まる。これにより、高負荷、高トラフィックになり、同じ回線を利用している他のサーバーにも一瞬被害が及ぶ。
15:00頃、ご利用中のお客様より連絡が入り、サーバーの確認作業に入る。高負荷は止まっており、サーバーは停止しておりませんでしたので、エラーなどは何もなく、通常に表示ができる状態。
15:00頃、別のお客様より連絡が入り、フォルダの内部がどんどん削除されているとの報告を受ける。
15:46 緊急メンテナンスによるサーバー停止の連絡を連絡させていただく。
17:39 状況の把握の報告と方針を連絡。その際、9日分あったバックアップデーターも削除されていたことを確認する。
復旧作業開始。
同時に対策会議の開始。

9/24
7:52 現状報告。バックアップデーターの復元が困難であることを連絡。
10:45 現状報告。仮サーバーの導入も検討し、同時進行で、仮サーバーの設置も作業開始。
対策プログラムの実験も開始。
警察にも報告したことを連絡。
19:45 復旧報告。対策プログラムの導入。警察の判断も連絡。

天王寺警察、及び大阪府警察の判断。
energyoflife.ca(124.217.251.89)がアクセス元であるが、こちらは、マレーシアのドメイン(IPアドレス)になり、恐らく、マレーシアの方か、マレーシアのこのサーバーを経緯しての攻撃になります。
アタック方法は、サイトの脆弱性をついて、そこからプログラムを埋め込み、上位のフォルダなどにアクセスできるようなプログラムを構築し、上記のサイトを経由して、お客様のフォルダなどをランダムに削除していったということになります。
ただし、警察側では、アクセス元などは調べることができましたが、マレーシアか、マレーシアを経由している時点で、
日本の法律上、マレーシアの警察が動いてくれることは相当難しいため、これ以上は、大変申し訳ございませんが、対応ができないということになります。
大阪県警の本部からの連絡になります。

上記を含め、これからの対策としましては、まず、やはりサイトの脆弱性をつかれないように最新の状態にすることを強く指導いただきました。


お使いのCMSなどの脆弱性がないかどうか、今一度ご確認ください。
最近、パッチ宛を行なったという報告はありますが、完全にパッチ宛されてなく、攻撃されているケースが多々見受けられます。
弊社で、見つけ次第、連絡させていただいておりましたが、全てを発見できている訳ではございません。
自己責任にて、必ずバージョンアップは行なってください。

弊社の方としましては、今回、それぞれのドメインのルートや、サブドメイン、エイリアスドメインのルートに、phptmpというフォルダを作成させていただき、アップロードなどの一時保存先として、そちらを設定させていただきました。
こちらですが、削除しますと、システムにて、ファイルのアップロードや、
メールのやり取りなどができなくなる可能性があります。
また、システムによっては、不具合が発生する場合があります。
その場合は、適切にご自身のそれぞれお使いのphptmpに
変更していただけましたらと動作しますので、何卒宜しくお願いいたします。
また、それぞれのphptmpフォルダは削除なされないよう、あわせて、宜しくお願いいたします。