WordPressのお問い合わせフォームからarachni_nameなんちゃらいうメールが来た
2019/12/12
先日、問い合わせフォームを備えているブログから大量にこんなメールが来ました。
差出人:arachni_name”‘`
題名:1
メッセージ本文:1
1分内に同じ内容のメールが16通も来ていたんです。ウザッ・・・。
で、いつもだったら「ンモー・・・うざいなぁ・・・」ぐらいで済ませるんですが、僕ちょうど一週間前ぐらいにサーバーの攻撃を食らってるんですよ。
[参考]WordPressのプラグイン脆弱性を突かれて不正なプログラムを動かされていた件
攻撃を食らうとどうなるか・・・っていうと、ブログが見られなくなったり、ブログにウィルス(マルウェア)が仕掛けられたり・・・もう本当に面倒なことになるわけです。
なんでそんなことするんですかね・・・。
人が嫌がることしちゃダメよって教わらなかったんですかね・・・。
で、その攻撃を食らったときに学んだんですが、どうやらコンタクトフォームに何やら不正なプログラムを動かすためのコードを打ち込んだりしてどうにかするらしいんですね(あいまい)
おいおい・・・今回もまたそれだったんじゃねーの。。。
というわけで調べてみました。
お問い合わせフォームからわけのわからないメールが来たらチェック要
とりあえず当該ブログにログインして、プラグインやらワードプレス本体やらをアップデートしとこうと思ったんですが・・・なんとその時に当該ブログは503エラーが出ている状態でした。
503エラーっていうのは、サーバーに過負荷がかかった時に「これ以上同時にこのブログを観れませんで!!」ってストップされてしまうものです。
なので、ちょっと時間をずらせばすぐに観られたりするものです。
[参考]さくら503頻発アクセス制限の元凶となったプログラム過負荷の原因を追った備忘録
おそらく、ですが・・・この不正アクセス(と思われる)のせいで過負荷になってたんじゃないでしょうか!?
サーバー側で吐かれているログを確認してみたところ・・・
wp-adminディレクトリやwp-login.phpへのアクセスを大量にした形跡や、ログインユーザー名でどうにかしようとした形跡がありました。
※WordPressは簡単にログインユーザー名を知る方法があるんです。
くっそー、めんどくさい。
もはや確実にこやつが何らかのプログラムを動かして短い時間で多くのアクセスをしたせいでサーバーに負荷がかかったに違いない。
もし違ったとしても、僕のブログにログインしようとしている時点で悪人です。
もう大急ぎで出来得る対応をしてきました・・・。
arachni_name”‘`はSQLインジェクション的なアレなの??
ちなみに僕はサーバーのエラーログを見たところでapacheのメッセージが読めるわけではないので、結局は調べて「なるほどわからん」っていう状態だったりします。
なので、もしかしたらもっと深刻な何かが隠れてたかもしれないですよね・・・。
検索してもよくわからないし、サーバー側もよくわからないようなログをユーザーに開示する意味はあるのか・・・なかなか気になるところではあります。
それと同じような問題で、今回の「arachni_name」も何らかの命令文だったりするんじゃないかと思って調べてみたんですが、全然わかりませんでした。
ただ、オープンチャットシステムなどで「arachni_name>1」みたいな発言があったのを見ると、いろんなCGIで試されてるコードなんだろうなと思います。
うーん、なんなんだろう。気になる。
教えてエロい人。
おわりに
というわけで、お問い合わせフォームから意味のわからないメールが来た時には一応サーバーをチェックしておきましょうというお話でした。
今回は特に被害がなかった(と思う)から良かったですが、前回のようにマルウェア仕掛けられてたらサーバーを取り上げられちゃう可能性もありますからね!!
僕は前回の一件以来、サーバー上のファイルの追加やモディファイを監視してくれるサービスを利用して、毎日ファイルに変化がないかチェックしています。
非常に面倒ですが、とりあえず今のところは問題なく運用できています。
この生産性のない余計な仕事を僕に増やしてくれた犯人はこれによってどんな利益を得たんでしょうね・・・。
WordPressでお問い合わせフォームを設置している方はご注意ください。
2019/12/12