ホームページが乗っ取られていました。現在復旧中

ホームページが乗っ取られていました。

昨年12月にホームページも見られなくなり、ワードプレスの管理画面にも入れなくなったのですが、それは私の方のいろいろなミスかと思って普段からバックアップを取っていたのでそれで復旧しました。
実は今となってはそれも前兆だったのかもしれません。

1月12日頃に、ホームページの内容を一新するべく下書きで原稿を書いていたら急に保存が出来なくなりました。
また管理画面には入れるけれども、管理画面から他のページに移行するためにクリックすると「403 Forbidden」となりアクセスが出来ない状態。
12月の時より中途半端だな、と思いつつ週末に復旧させようと呑気に構えていました。

1月14日にホームページを開いたところ、特に問題なくトップページは見られるのですが、それから他のページへとクリックすると謎の通販サイトに飛ばされました。

こんなの。

乗っ取り画面

目が点になりました。

コレはヤバイと管理画面に入ってもそこから先は403Forbiddenとアクセスを拒否されるのでなーんもでけん。
いっそレンタルサーバーのコントロールパネルからワードプレスをアンインストールして更には内容が保管されているデータベースをも削除して、改めてインストールしてまっさらの状態にしても、やっぱり管理画面以降が変わらず拒否され、ホームページのアドレスhttps://m106.org/の後にテキトウな文字列を羅列しても先の謎の通販サイトに飛ばされる。

「これは乗っ取られた・・・!?」

 

これ以上は素人の私にはお手上げだとレンタルサーバーのサポートへメール。それが14日金曜日の夜のこと。
なのでサポートが対応するのは月曜日以降。

1月17日月曜日、11時前にはサポセンから返信のメールが。
やはり乗っ取られていて、アヤシイファイルが複数見つかって、サイト全体を制御するファイルの内容が改竄されていたようです。
原因は僕が2008年の開業時、ホームページ自体はホームページビルダーという素人御用達のアプリを使って作っていたのですが、ブログはMovableTypeというアプリを使ってブラウザ上で投稿していました。
それを現在のワードプレスにホームページの作成全体を移行したときに、過去のブログ、としてそのまま放置していたのです。MovableTypeを更新しないまま。

結果MovableTypeが古くなるにつれ脆弱性が出てその穴は放置したままだったので、これがサイト乗っ取りの入口になったのだろう、ということでした。

全部初期化した方が危なくないよ。という提案だったので、
バックアップはしていたけれどもそれで復元してもよろしくないモノまで復元されるのでは・・・?

という懸念がどうしても浮かんでしまいます。

もうだったら・・・

とワードプレスに移行してからの4年間にため込んだブログもぜーんぶチャラにしてゼロからやり直しです。

 

幸い、このホームページは患者情報とかキャッシュカードの情報とかそういう漏洩したら一大事なデータは最初っから入ってないので、患者さんにご迷惑をおかけすることはありません。

ただせっかく来て、見てくれたのに謎の通販サイトに飛ばされるというご迷惑に関しては大変申し訳ありませんでした。

 

セキュリティ対策を厳にし色々やり直していきますので今後ともよろしくお願いします。