• タグ別アーカイブ: ハッキング
  • マイドメインがブラックリストに登録されてフリーメールに配信されない件

    知り合いのサイトがハッキングを受けたホームページの改ざん修復とセットの話になるのだが・・・

    対象のドメインで「メールが送れない」と言っていて、使っているメーラーの設定を確認したりローカルな修復をアドバイスしていたけど解決しないので、乗りかかった船と調査を始めた。

    まず、新規にメールアドレスを追加。
    自分の管理下にあるフリーメールを含めた複数のメールアドレスにBCCでテスト配信。

    その結果、gmailとhotmailに届かないことが判明。
    さくらサーバーのコントロルパネルからWEBメールで送受信しても同じ。

    登録されているメールアドレスのボックス容量を見ていたら「postmaster」アドレスに微量のデータ痕跡が有る。
    で、postmasterメール見たら以下のメールが複数あった
    -----------------
    The original message was received at Wed, 14 Apr 2021 21:18:36 +0900 (JST) from localhost [127.0.0.1]
    —– The following addresses had permanent fatal errors —–
    <*****@mail.com>
    (reason: 554-mail.com (mxgmxus008) Nemesis ESMTP Service not available)
    -----------------
    相手のメールボックスが一杯でメールが配信できなかったメール・・・・
    mail.comを調べたらフリーメールと判った。

    あと、もう一通。
    **********************************************
    ** THIS IS A WARNING MESSAGE ONLY **
    ** YOU DO NOT NEED TO RESEND YOUR MESSAGE **
    **********************************************

    The original message was received at Thu, 15 Apr 2021 00:05:29 +0900 (JST)
    from localhost [127.0.0.1]

    —– Transcript of session follows —–
    … Deferred
    Warning: message still undelivered after 4 hours
    Will keep trying until message is 5 days old

    gmailに5時間配信出来なかったメール。

    これが最後のメール。ハッキングされた後、WordPress、データベースを削除した後に来たメールだったから不正プログラムがまるごと削除されてそれ以降消失したと思われ。

    ということなので、ドメインがブラックリストに載っていないか The Spamhaus Projectというサイトで調べたら・・・・
    載っていた。

    Do you have problems sending email? Do you need to check if an IP address or domain name is on one of our blocklists ?

    Where it is possible to request removal, we will step you through the process. However, if your IP is listed on the Spamhaus Blocklist (SBL) removal can only be requested by your Internet Service Provider (ISP).
    Domain Blocklist (DBL) – Why is this domain listed?
    削除をリクエストできる場合は、プロセスを順を追って説明します。 ただし、IPがSpamhaus Blocklist(SBL)にリストされている場合、削除はインターネットサービスプロバイダー(ISP)によってのみ要求できます。

    削除依頼はプロバイダーの仕事らしいので、翌日、さくらサーバーのチャットでブラックリスト解除の依頼説明をした。

    お答えはドメインの調査とブラックリスト削除依頼のセットだった。
    丁寧な説明ヘルプもあった。ブラックリストに登録された場合の対処方法
    さらに、自分のドメインがブラックリストに載っているか調べるリンク先もあった。mxtoolbox

    まぁ、ブラックリストに載っている下調べもして、gmailとhotmailに届かないのが問題だったし、不正プログラムもWordPress・データベースの削除&再インストールでさらに16日以降postmasterに不達通知が入っていないことからブラックリスト解除の時間はそうかからないものと思われ。

    あと、不正IPからのアクセス禁止をお願いしたらコントロールパネルからIPを指定することが出来ると教えてもらい、ファイルマネージャーからアクセス制限を掛けることも出来た。

    過去の経験から、だいたいこんなストーリーかなと思っていたことがそのままだったので解決は早かった。
    まぁ、知り合いだからしょうがないか。


  • WordPressのハッキングトラブル?良くわからないコードが書き加えられる件

    知り合いのサイトトップページに表示されないはずのアスタリスクマーク以下の文字列が出現。

    知識的に知らないことで困惑の末こちらに相談が来る・・・・

    とりあえずログインして色々見たところheader.phpの頭に以下のようなコードが書き込まれていた。

    「goto IPaf0; lxWkj: $botbotbot」とか、怪しすぎだろ。

    管理画面のテーマエディターで削除できないかやってみたがファイルの変更ができない状態になっていた。
    FTPでサーバーにログインしてheaderのパーミッションを変更したけど更新が出来ない。

    そもそも、このコードは何なのかと検索したら1件だけヒットした。
    Online PHP and Javascript Decoder
    ヒットと言うか、オンラインでデコードしてくれたようだ。

    デコード結果が以下の模様。

    とにかく、このままじゃだめなので修正をしなければならない・・・超大変。

    しかし!うまいことにこのサイトはさくらサーバーの無料バックアップ「バックアップ&ステージング Powered by Snapup」が使えるように設定してあったので問題が無かった日のシステムにまるごと上書き。
    データベースも上書きしてくれるの異常状態が解決したけど、どうにもハッキングされていたとか・・・

    バックアップは本当に転ばぬ先の杖ですね。


  • BitZenyのオンラインウォレットからBitZenyのハッキングでコインが流出しているらしい。

    昨日BitZenyオンラインウォレットから「BitZenyオンラインウォレットより緊急のご連絡」というメールが来た。

    ******** 様

    お客様のIDとパスワードの組み合わせが流出している可能性があり、パスワード変更をお願いいたします。
    不正な送信を防ぐため、パスワードを変更するまで送信ができないようにしています。パスワード変更後に送信できる状態になります。

    ログイン時にアカウントがロックされていてログインできない人は、本メールを返信ください。ロックを解除いたします。

    詳細につきましては現在調査中です。

    ※メール確認が済んでいない方にもお送りしています。
     BitZenyオンラインウォレットをご利用でない方はお知らせください。

    今日まで出張中だったので、やっと帰ってきてログインのロック解除申請メールを送ったところ。

    ただ、もうあきらめムードでは有る・・・というのも、2通目のメール内容がこれ。

    ******** 様

    「BitZeny WALLETより追加のお願い」

    調査の結果、現状パスワードを変えて頂いていますが、それでも対策が不十分で、一旦ウォレット内のコインを早急に別のウォレットへ移していただくことが必要という判断に至りました。対象となるのは全ユーザーではなく、下記の問題が発生した一部のユーザーです。

    該当しているユーザーに本メールをお送りしています。

    流出経路は未だに分かっていませんが、コインを不正に送信されているユーザーを調べたところ、何らかの原因で、過去に生のパスワードをサーバーへ送信してしまったことのあるユーザーであることが分かりました。

    当オンラインウォレットでは生のパスワードをサーバーに送信しない仕様で安全を確保していたのですが、何かしらのブラウザ側の挙動か、タイミングかで一部のユーザーのみ生のパスワードをサーバーへ送信してしまう現象が稀に発生していたようです。本来サーバー側で受け取るはずのないデータなのですが、調査したところその情報がサーバーに記録されていました。
    そのため、ブラウザだけでなく、ネットワーク経路やサイトから流出した可能性も考えられます。

    ニーモニックが流出していたとすると、ある日突然コインが移動されることになってしまいます。コインがまだ残っているユーザーは早急にウォレット内のコインを別のウォレットへ送信し、今お使いのアカウントを今後一切使わないようにしてください。

    とりあえずログインすると、残高は残っていた。

    対策として、パスワード変更後、もにゃかBitZeny Coreに移動しないといけない・・・
    あと、マイニングのコマンドIDも変更して再開です。