未分類 – めんた鯖

WordPressサイトの復旧について

2025年8月3日2025年8月3日めんたコメントをする

去年の10月頃にWordpressへ攻撃を受け、サイトを閉鎖していましたが、時間が取れたので色々対策をして復旧させました。内容としては以下になります。

なお、Wordpress自体はすぐに閉鎖し、閉鎖期間中はWordpressのDockerコンテナ自体を起動せず、本日バックアップから復元させましたので、攻撃の痕跡は別途解析用に残したファイル以外は残っていません。

また、当サイトではWordpress,PHP-fpm,MySQLなどコンテナを分離して構成しております。

## 発見された脅威

### 検出されたマルウェア

調査の結果、以下の悪意のあるファイルがWordPressディレクトリ内に設置されていることを確認しました：

– **mlm.php** – 外部からの遠隔操作を可能とするWebシェル

– **jmfi2.php** – ファイルアップロード機能を悪用したバックドア

– **123.php** – システム情報の漏洩を目的としたスクリプト

– **password.php** – 認証情報の窃取を行うマルウェア

– **wp-extends.php** – WordPress標準ファイルを装った偽装マルウェア

### 攻撃手法の分析

– PHPベースのWebシェルによる遠隔操作

– ファイルアップロード機能の不正利用

– WordPress管理機能への不正アクセス

– サーバー情報の収集・漏洩の試み

改変されたファイル自体は保存してありますので、新しい発見などありましたら報告させていただきます。

サイト構成について

2023年10月6日2023年10月6日めんたコメントをする

現在の構成では安定した運用ができないため、構成の見直しを行っています。

（Apache＋Mod_UploaderをDockerに逃がすなど）

このため、しばらくの間アップローダの機能などが使用できません。

アップローダのデータについて

2021年12月14日2021年12月14日めんたコメントをする

アップローダに上げられているデータについて、多くの通報を頂いており都度対応しておりましたが、tor経由のアクセスが多かったため、アップローダのデータを一旦全削除し、tor経由のアクセスを遮断しました。

引き続き、通報につきましては以下のフォームから情報の提供をお願いいたします。

https://berryred.info/include/mail/

Uploader404エラーについて

2021年2月21日2021年2月21日めんたコメントをする

WordPressの更新により.htaccessが更新され、uploaderのURLにアクセスすると404エラーになる状況が続いておりました。

.htaccessを編集し、現在は正常にアクセスできることを確認しております。

再びアップローダのデータについて

2017年11月20日2017年11月20日めんたコメントをする

お昼ごろApacheのSegmentation faultとともにApacheが落ちました。
ご迷惑をおかけし、申し訳ありません。

原因はまたもやMod_Uploaderなので、データを一旦避難させ、UPLOADERを空の状態で起動しなおしました。

いい加減落ちすぎなので別途手段を考えてみます。

UPLOADERアップロードサイズ変更

2016年6月27日2016年6月27日めんたコメントをする

アップローダのファイルサイズ制限を500MBまでとしていましたが、利用頻度も低いということもあり、サイズ制限を1GBに変更しました。

SSD置換

2013年11月4日2013年11月4日めんたコメントをする

サーバーの一部をSSDに置換する作業が終了しました。

VirtualMachineを立てて行っていたんですが、気づかないうちに仮想サーバー側が止まっていたようで、ご迷惑をお掛けしました。

申し訳ありません。

今回の増設に伴い、新たにhttp://berryred.info/というドメインを追加しました。

まだアップローダしか稼働していませんが、今後追加をしていく予定です。

サーバー障害

2010年10月21日2010年10月21日めんたコメントをする

本日AM8時頃～PM8時頃までサーバにアクセスできない障害が続いていました。

現在は復旧していますが、原因の特定のために作業中ですのでたまに落ちることがあるかもしれません。

ご迷惑をおかけし、申し訳ございませんでした。

サーバ移行

2009年11月6日2009年11月7日めんたコメントをする

Mem、CPUなどのスペックはほぼ同じなんですが、OSの入れ替え、HDDの増設などを行った鯖に移行します。

日時は11月7日(土)19:00~20:00頃

そのため、現在アップローダにアップロードされているファイルにはアクセスできなくなります。

●旧鯖のスペック

本体：NEC Express5800 S70/SD

CPU：Intel Celeron 430

Mem：シリコンパワー DDR2-800 2Gx2

HDD：WD 500Gx2

OS：CentOS 5.3 32bit

●新鯖のスペック

本体：NEC Express5800 S70/FL

CPU：Intel Celeron 430

Mem：シリコンパワー DDR2-800 2G+1Gx2

HDD：WD 160Gx1 1Tx3

OS：CentOS 5.4 64bit

また、アップローダの上限を500Mに設定したため、帯域制限、同時接続数制限は解除します。

しばらく様子を見て帯域やCPU的にきつそうであればまた制限を設定するかもしれません。

アップローダのデータを移行したかったのですが、32bit→64bitに移行する際データは引き継げないようなので移行できません。

※19時45分をもってサーバ移行が終了しました。

掃除などを考えていんですが、案外すんなり。

サーバ整理

2009年9月4日2009年9月4日めんたコメントをする

試験用のサーバを用意していないため、色々突っ込んでいたら何が入ってるか分からない状況になってきたのでサーバをセットアップしなおそうと思ったんですが、空いてるHDDがない。

とりあえず廊下に転がってるSX 270を代機のサーバにして、データを玄箱に非難させてとか諸々やってみてはいるものの、RAID0+1で2Tが確保できないくらい行き詰ってる状況。

ヨドバシのポイントカードとか見つかれば買って来れそうな雰囲気なんだけど、どこにやったか忘れた。

とりあえずPS2の吸い出したROMイメージとかを消したりしてがんばってみます。
うｐろだの一時停止期間などは後日告知しますので、その前後ではうｐろだなどが使えない状況になるかもしれません。

2025年8月
日	月	火	水	木	金	土
					1	2
3	4	5	6	7	8	9
10	11	12	13	14	15	16
17	18	19	20	21	22	23
24	25	26	27	28	29	30
31