【解決までの道のり】「お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について」を1日で対処した時の備忘録

プログラミング

タイトルにあるように、エックスサーバーからメールが届きました。

調べてみると、思った以上に多くの人がこのメールを受け取っているようでしたが、それぞれ対応方法が違いました。

今回私自身もエックスサーバーからこのタイトルのメールを受け取り、対処した結果、制限を解除してもらうことが出来ました。

同じように被害を受けている方の参考になりましたら幸いです。

エックスサーバーからメールを受信「国外からのアクセス制限を受ける」

以下もらったメールの全文を公開しておきます。

〇〇 様

平素は当サービスをご利用いただき誠にありがとうございます。
エックスサーバー カスタマーサポートでございます。

XserverアカウントID : *********
サーバーID :**************
ドメイン名 :trend-tracer.com
お問合せ番号:***************

お客様の上記サーバーアカウントにおいて、
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様が設置されたメールフォームに対し、海外からのアクセスが集中しており
当該プログラムを悪用したスパムメール配信が疑われる状況です。

[不審なアクセスログの一部]

[trend-tracer.com]
162.253.129.51 - - [19/Feb/2021:05:21:35 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
89.249.49.120 - - [19/Feb/2021:05:26:30 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
144.217.60.211 - - [19/Feb/2021:05:41:11 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
195.225.118.41 - - [19/Feb/2021:06:20:12 +0900] "POST /wp-json/contact-form-7/v1/contact-forms/6/feedback HTTP/1.1" 403 2843 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.64 (Edition Yx)"

135.148.33.74 - - [19/Feb/2021:06:31:05 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

▼サポートにて実施した制限内容

・【trend-tracer.com】ドメインにおいて、国外からのアクセスを制限

 ※上記処理に伴い、国外から【trend-tracer.com】へのアクセスが403エラーとなる状態です。
  国内からは通常通りアクセス可能です。

※上記制限により当該ドメインのサーバーパネル「アクセス拒否設定」において
 拒否されているIPアドレス一覧に「all」の記述が追加されておりますが
 こちらの記述は削除なさいませんようにお願いいたします。

※「all」と記述がある状態ですが、国内からのアクセスは許可している状況ですので
 国内からは通常通りアクセス可能である状態でございます。

さらなるスパムメールの大量送信などの『不正アクセス』による被害の拡大を防ぐため、
上記対応を実施しましたことを何卒ご了承くださいますようお願いいたします。

国外アクセス制限の解除をご希望である場合には、
お手数ではございますが、ご利用の各プラグイン、テーマファイルについて
下記の点をご確認いただき、原因の特定・対処を行われた後、
当サポートまで詳細をご報告いただければと存じます。

1.reCAPTCHAを導入する

2.配布元等で脆弱性が公開されていないかどうか

3.古いバージョンのまま利用していないかどうか

 ※脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、
  不正アクセスの対象として狙われやすくなってしまいます。

4.ファイルの改ざん、不正ファイルの設置がないかどうか

問題がないと判断しましたら
該当ドメインの国外アクセス制限を解除いたします。

以上、何卒よろしくお願い申し上げます。
ご不明な点などございましたら、お気軽にお問い合わせください。

Xserver カスタマーサポートのメールより

おこなったこと(アクセス制限解除までの流れ)

上記のメールを受けて行ったことは以下の通りです。

対処したこと・手順

  • メールの内容の確認、起こっている問題の把握(コンタクトフォームが問題であると認識)
  • 対策方法の検討と対処(コンタクトフォーム自体を削除した)
  • 対処したことをメールに記載して返信
  • 数時間後、担当者からメールの返信。対処が適切だったかどうか、運用状況を確認する旨のメールを受ける
  • さらに数時間後、運用状況の問題がないことが確認されて制限が解除される

メールの内容の確認、起こっている問題の把握しよう

メールをもらって、色々と混乱していると思いますが、まずはメールの内容をしっかりと確認していきましょう。

対処方法については、エックスサーバーからのメールに、例が書かれていると思います。

まずはそこを参考にしてみることをお勧めします。

私の場合は以下のような例をいただきました。

1.reCAPTCHAを導入する

2.配布元等で脆弱性が公開されていないかどうか

3.古いバージョンのまま利用していないかどうか

 ※脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、
  不正アクセスの対象として狙われやすくなってしまいます。

4.ファイルの改ざん、不正ファイルの設置がないかどうか

私の場合、メールに記載された方法を実施しませんでした。

書かれた方法をしなければならないという訳ではありませんのでご安心ください。

対策を実施する。大変だと思いますが、頑張って!

メールを確認して問題点がどこにあるのかがわかったら実際に対策を実施していきましょう。

時間がかかる場合もあると思いますが、ここは気合と根性です。

逆に問題を解決する時間が長引けば長引くほど、SEO的にもマイナス影響が大きくなります。

対策方法としては、問題を起こしているものを根本から削除してしまうのがいいと思います。

例えば、特定のページが問題を起こしているのであれば、そのページ自体を削除してしまうというのもの一つの手です。

私の場合、問い合わせページが悪いことに利用されていたようでしたので、問合せページそのものを削除しました。

エックスサーバーの担当者へメールを返信!

対処出来たら、早速エックスサーバー側へメールを送りましょう。

実際に返信したメールを載せておきます。

お世話になっております。

〇〇と申します。

XserverアカウントID : *********

サーバーID :**************

ドメイン名 :trend-tracer.com

お問合せ番号:***************

ご連絡いただきました、件について以下対応いたしました。
・コンタクトページの削除 (https://trend-tracer.com/contact/)

[不審なアクセスログの一部]

[trend-tracer.com]
162.253.129.51 - - [19/Feb/2021:05:21:35 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.94 Safari/537.36"
89.249.49.120 - - [19/Feb/2021:05:26:30 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
144.217.60.211 - - [19/Feb/2021:05:41:11 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.143 Safari/537.36"
195.225.118.41 - - [19/Feb/2021:06:20:12 +0900] "POST /wp-json/contact-form-7/v1/contact-forms/6/feedback HTTP/1.1" 403 2843 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3396.87 Safari/537.36 OPR/54.0.2952.64 (Edition Yx)"

135.148.33.74 - - [19/Feb/2021:06:31:05 +0900] "POST /contact/ HTTP/1.1" 200 147152 "https://trend-tracer.com/contact/" "Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/36.0.1985.125 Safari/537.36"

対応としてコンタクトページを削除いたしました。
アクセスログを見る限り、このページを経由してメールが大量送信されていると考えましたので
ページ自体がなくなれば問題ない認識です。

1.reCAPTCHAを導入する
 ⇒再度コンタクトページを作成する際、導入いたします。

2.配布元等で脆弱性が公開されていないかどうか
 ⇒ページの削除で対応、再度コンタクトページを作成する際に配布元を変更して対応いたします。

3.古いバージョンのまま利用していないかどうか
 ⇒最新版を使用しておりました。

 ※脆弱性が残ったままの古いバージョンのプログラムを使用し続けると、
  不正アクセスの対象として狙われやすくなってしまいます。

4.ファイルの改ざん、不正ファイルの設置がないかどうか

 ⇒ファイルの改ざん等は今のところ見られておりません

ご確認いただき、問題がないと判断されましたら
該当ドメインの国外アクセス制限を解除願います。

よろしくお願いいたします。

エックスサーバー担当者へ送ったメール

メール返信後、数時間でアクセス制限が解除される。エックスサーバー側の対応はかなり早いので安心!

メールを返信してからですが、アクセス制限解除まではかなりスピーディでした。

幸いなことに、一度の対処で制限解除していただけました。

かなり早い対応でしたので、しっかりと対処をした上で、確認してもらえればエックスサーバー側はかなり早く対応してくれるはずです。

以上で備忘録を終えます。

メールを最初に見たときはかなり絶望感をえましたが、気持ちを切り替えて、しっかりと対処するようにしましょう。

難しそうであれば、エックスサーバー側に相談してみるのも一つの手だと思います。