• カテゴリー別アーカイブ WordPress
  • WordPressに関する記事を含みます。

  • マイドメインがブラックリストに登録されてフリーメールに配信されない件

    知り合いのサイトがハッキングを受けたホームページの改ざん修復とセットの話になるのだが・・・

    対象のドメインで「メールが送れない」と言っていて、使っているメーラーの設定を確認したりローカルな修復をアドバイスしていたけど解決しないので、乗りかかった船と調査を始めた。

    まず、新規にメールアドレスを追加。
    自分の管理下にあるフリーメールを含めた複数のメールアドレスにBCCでテスト配信。

    その結果、gmailとhotmailに届かないことが判明。
    さくらサーバーのコントロルパネルからWEBメールで送受信しても同じ。

    登録されているメールアドレスのボックス容量を見ていたら「postmaster」アドレスに微量のデータ痕跡が有る。
    で、postmasterメール見たら以下のメールが複数あった
    -----------------
    The original message was received at Wed, 14 Apr 2021 21:18:36 +0900 (JST) from localhost [127.0.0.1]
    —– The following addresses had permanent fatal errors —–
    <*****@mail.com>
    (reason: 554-mail.com (mxgmxus008) Nemesis ESMTP Service not available)
    -----------------
    相手のメールボックスが一杯でメールが配信できなかったメール・・・・
    mail.comを調べたらフリーメールと判った。

    あと、もう一通。
    **********************************************
    ** THIS IS A WARNING MESSAGE ONLY **
    ** YOU DO NOT NEED TO RESEND YOUR MESSAGE **
    **********************************************

    The original message was received at Thu, 15 Apr 2021 00:05:29 +0900 (JST)
    from localhost [127.0.0.1]

    —– Transcript of session follows —–
    … Deferred
    Warning: message still undelivered after 4 hours
    Will keep trying until message is 5 days old

    gmailに5時間配信出来なかったメール。

    これが最後のメール。ハッキングされた後、WordPress、データベースを削除した後に来たメールだったから不正プログラムがまるごと削除されてそれ以降消失したと思われ。

    ということなので、ドメインがブラックリストに載っていないか The Spamhaus Projectというサイトで調べたら・・・・
    載っていた。

    Do you have problems sending email? Do you need to check if an IP address or domain name is on one of our blocklists ?

    Where it is possible to request removal, we will step you through the process. However, if your IP is listed on the Spamhaus Blocklist (SBL) removal can only be requested by your Internet Service Provider (ISP).
    Domain Blocklist (DBL) – Why is this domain listed?
    削除をリクエストできる場合は、プロセスを順を追って説明します。 ただし、IPがSpamhaus Blocklist(SBL)にリストされている場合、削除はインターネットサービスプロバイダー(ISP)によってのみ要求できます。

    削除依頼はプロバイダーの仕事らしいので、翌日、さくらサーバーのチャットでブラックリスト解除の依頼説明をした。

    お答えはドメインの調査とブラックリスト削除依頼のセットだった。
    丁寧な説明ヘルプもあった。ブラックリストに登録された場合の対処方法
    さらに、自分のドメインがブラックリストに載っているか調べるリンク先もあった。mxtoolbox

    まぁ、ブラックリストに載っている下調べもして、gmailとhotmailに届かないのが問題だったし、不正プログラムもWordPress・データベースの削除&再インストールでさらに16日以降postmasterに不達通知が入っていないことからブラックリスト解除の時間はそうかからないものと思われ。

    あと、不正IPからのアクセス禁止をお願いしたらコントロールパネルからIPを指定することが出来ると教えてもらい、ファイルマネージャーからアクセス制限を掛けることも出来た。

    過去の経験から、だいたいこんなストーリーかなと思っていたことがそのままだったので解決は早かった。
    まぁ、知り合いだからしょうがないか。


  • WordPressのハッキングトラブル?良くわからないコードが書き加えられる件

    知り合いのサイトトップページに表示されないはずのアスタリスクマーク以下の文字列が出現。

    知識的に知らないことで困惑の末こちらに相談が来る・・・・

    とりあえずログインして色々見たところheader.phpの頭に以下のようなコードが書き込まれていた。

    「goto IPaf0; lxWkj: $botbotbot」とか、怪しすぎだろ。

    管理画面のテーマエディターで削除できないかやってみたがファイルの変更ができない状態になっていた。
    FTPでサーバーにログインしてheaderのパーミッションを変更したけど更新が出来ない。

    そもそも、このコードは何なのかと検索したら1件だけヒットした。
    Online PHP and Javascript Decoder
    ヒットと言うか、オンラインでデコードしてくれたようだ。

    デコード結果が以下の模様。

    とにかく、このままじゃだめなので修正をしなければならない・・・超大変。

    しかし!うまいことにこのサイトはさくらサーバーの無料バックアップ「バックアップ&ステージング Powered by Snapup」が使えるように設定してあったので問題が無かった日のシステムにまるごと上書き。
    データベースも上書きしてくれるの異常状態が解決したけど、どうにもハッキングされていたとか・・・

    バックアップは本当に転ばぬ先の杖ですね。