VPSサーバが不正アクセスされた際の対処法

GWのちょっと前なんですが、僕がエッチなブログで使っているサーバ(GMOクラウドVPS)に不正アクセスが有りまして・・・恐らく同様の人もおられるんじゃないかと思いますので、今回対応した事を書いておきます。

緊急:【重要】ご利用中のサーバーについて

という件名のメールが届いたのは、4月22日の12:30。最初はとうとうエッチな内容がNGになったのかと思いましたが、内容は契約サーバから不審な通信が出ているので至急調査して下さいとの内容。

ご担当者さま

平素は弊社サービスをご利用いただきありがとうございます。
お客さまサービスセンターでございます。

この度、ご契約サーバーから外部サーバーに対して不審な通信が発生している旨、弊社ネットワーク管理者より報告がございました。

■報告内容
[日 時] 2015/04/21 16:00 - 2015/04/22 08:00
[内 容] ご利用中のサーバーから外部への不審通信
[IPアドレス] ***.***.***.***
[ドメイン名] sub*****.hmk-temp.com

■通信ログ
送信元IP 宛先IP アプリ 送信元ポート 宛先ポート プロトコル DSCP TCP FLAGS

***.***.***.*** 114.161.1.111 http 80 57683 TCP Default A
***.***.***.*** 114.161.1.111 http 80 55010 TCP Default A
***.***.***.*** 1.72.7.213 http 80 52758 TCP Default A
***.***.***.*** 49.97.42.39 http 80 50810 TCP Default A
***.***.***.*** 182.249.246.140 http 80 11362 TCP Default A

〜大量のログが続く〜

本件通信はお客さまが意図したものになりますでしょうか。

お客さまにお心当たりがなく、こうした異常な通信が発生する場合、サーバーが第三者に不正に利用されているケースが考えられます。至急、サーバー上のプロセスに問題がないか不正なプログラム等が稼動していないか等ご確認をお願いいたします。

なお、該当通信が継続する可能性が生じた際には、事前連絡なくご契約サーバーに対して停止処置を実施させていただく場合もございます。恐れ入りますが、予めご容赦いただきますようお願いいたします。

お手数ではございますがログやプロセス状況などを元に、至急、以下点のご精査と対処を講じていただきますようお願い申し上げます。

・ 不審プロセスの確認、及び不審プロセスの停止や削除
・ 進入経路の確認、及び必要なセキュリティ対処策の実施
・ 必要に応じた、各種プログラムの脆弱性への対処を実施
・ 必要に応じた、各種アカウントのパスワード変更
・ ROOT権限が奪取されていないかの確認

※クラックされた状態のままでございますと、弊社ネットワーク障害の要因となる可能性があり、他の多くのお客さまに影響が及んでしまう可能性がございます。

急とはなりますが、緊急となりますため

----------------------------------
ご対応期限:2015年4月22日(水)18時まで
---------------------------------

本日中にご対応いただき、弊社までご連絡いただけますようお願いいたします。

恐れ入りますが、ご確認のほどよろしくお願いいたします。

20150504 1
写真素材ぱくたそ

まさにこんな感じ。

12:30に届いて18:00時期限って結構タイトではありますが、ほっといたらガンガン踏み台やらなんやらに使われてとんでもない事になるので、すぐに指示された点を実行。

とりあえずやった事

とりあえず指示はされたものの、VPSの設定は出来るのだが、こういうログやら不正アクセスやら調査系のスキルは0なので、とりあえず以下を実行。

  • ・ROOTやFTP等、各種ログインパスの変更
  • ・インストールして放置していたWordPressやphpspeed等のプログラムを削除(これが問題だったような気がするので、いらないプログラムは今後はすぐ削除しておこうと思った)

実行後、すぐにメールでやった事を連絡してとりあえずその日は終了。

次の日も連絡が無かったので "収まったか" と思っていたが、その翌日に再度大量の通信が発生しているので再度調べて下さいとの連絡。

ただ、僕ももう出来る事は無かったので、何か良い方法は無いかとGMOクラウドVPSの担当者様に泣きついたところ、有償だが「サーバー不正アクセス調査」も出来るので検討して下さいとの事。

サーバー不正アクセス調査

調査系スキル0の僕には大変有難かったが、気になったのが「調査」という箇所。ひょっとして調査だけして対応はこちらがするのでは・・・と思い確認してみたところ

特定できた原因の内容によっては調査に含めて対処
いたしますが、サーバーの設定変更やWebサイト側での
対処が必要な場合はお客さまにてご対応いただいております

との事。対処もしてくれるようだが、やはりこちら側での作業も必要になるかもしれないとの事。サーバの設定なら出来そうな気もするが、出来なかったら調査費が無駄になるし・・・と悩んでいたところ、1つの解決策を思い浮かぶ。

新しいVPSサーバを追加して移せばいんじゃね

GMOクラウドVPSでは1契約で何個でもVPSサーバの契約が可能。なので、もう感染してる現VPSは止めて新しいサーバに引っ越すのが一番綺麗なんじゃないかと。

大丈夫だと思うが担当者とやりとりしている手前、その対応で問題無いか聞いてみた。

問題ございません。
不正アクセスを受けてしまった場合、セキュリティーの回復が
可能となる明確な対処方法がないかぎり、弊社でもそのように
ご提案させていただいております。

問題無し!

という事で速攻で現サーバのWordPressのバックアップを取り、新しいグランデを追加してデータを移行し事なきを得ました。

まとめ

VPSサーバが不正アクセスされた際の対処法。それは、感染したVPSは早々に捨て、新しくVPSを追加してお引越しするのが一番綺麗でてっとり早い!

原因を調べて対処する能力が有れば尚よしでは有りますが、正直仕事でサーバ管理をやってる技術者でも無ければそれは難しい気がします。

最後にGMOクラウドお客さまサービスセンターの担当者の方には色々教えて頂いて助かりました、誠にありがとうございました。

GMOクラウドのVPS