WordPress活用ガイド

Webサーバーほったらかしの罪、記者の個人サイトが改ざんされたワケ - 無料のテンプレートキング

ある日、家族から「昔のブログが見えなくなっている」と言われた。そのブログのURLにアクセスしたところ、確かに閲覧できなくなっていた。

 その家族は現在は大手ネット事業者が提供しているブログサービスを利用しているが、以前はレンタルサーバーにブログサーバーソフト「Movable Type(MT)」を設置し、筆者が個人でブログを運用していた。アクセスできなくなったのは、このMTのブログだ。

 「indexファイルが何かの拍子で壊れたのかもしれない」。そう思ってFTPでレンタルサーバーにアクセスしてみた。Webサーバーのルートに設定しているディレクトリーの内容を見たところ、何かがおかしい。

 まず、ブログのディレクトリーがMTのファイルを含めまるごと消えていた。ブログが閲覧できなくなったのは、これが原因だろう。

 それだけではない。Webサーバーのルートに見慣れないディレクトリーやファイルがずらりと並んでいる。設置した覚えがないWordPress(ワードプレス)のシステムファイルもあった。念のためバックアップの内容を確認したところ、そんなファイルはないはずだった。

 悪い予感がして、そうしたディレクトリーの1つの名前で検索してみた。ビンゴだ。すぐにMTの脆弱性情報が引っかかった。「Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)」である。攻撃者が任意のコマンドを実行できるという超特大のセキュリティーホールだ。

JPCERT/CCによる脆弱性情報(外部サイト):
Movable TypeのXMLRPC APIにおける脆弱性(CVE-2021-20837)に関する注意喚起
piyokango氏による関連記事:
バックドア設置の被害が発生したMovable Type、別のCMSでも対処が必要な理由
 おそらくMTの脆弱性を悪用して、ファイルをダウンロードする「curl」コマンドなどによりバックドアを設置したのだろう。そうなれば攻撃者はやりたい放題である。バックドアがあれば攻撃の足がかりになったMTは不要なので、ディレクトリーごと削除したようだ。

 とりあえず、Webサーバーのルートに設定していたディレクトリーの名前を急いで変更した。これでコンテンツがインターネットから切り離され、外部からはWebサーバーが空の状態になる。

 次にバックアップから、「php」や「cgi」といった拡張子を持つ実行ファイルをすべて削除した。現在のMTの仕様は知らないが、私がMTを使っていたころは、MTは動的なページは使わず、すべて静的なページとして出力する仕様だった。過去のブログを参照するだけなら、実行ファイルがなくても問題ない。

この記事は会員登録で続きをご覧いただけます。次ページでログインまたはお申し込みください。

次ページ
そのバックアップをレンタルサーバーに書き戻した。...

https://xtech.nikkei.com/atcl/nxt/column/18/00682/040500077/

-WordPress活用ガイド