マルウェアに感染し、mixhostのアカウントを強制凍結された時の話。バックアップデータも取り出せず、10年かけて書いた500以上の記事が無くなりました。
このサイトを作る前、2013年位から運営していたブログがありました。
運営当初はエックスサーバーを利用していましたが、2017年から料金が安い割に高速と評判のmixhostに移行しました。
ネット上で検索すると、私と同じような被害にあっている人がたくさんいるようです。特に、ビジネスとして運営している人には死活問題だと思います。
同じような被害にあう人が1人でも減ることを願って、当時のできごとを記録として残しておきます。脚色無し、すべて実話です。
他の被害者の方
【mixhostはやばい】レンタルサーバーのデータが全部ぶっ飛んだ話
mixhostの対応が最悪だった件!レンタルサーバーは格安ロリポップがおすすめ
はしこ旦那のワードプレスのサイトがマルウェアに侵された体験談まとめ
ミックスホストmixhostの評判は最悪!サーバーにウィルスが!index.bak.phpとは?
mixhostでマルウェア感染、アカウント強制凍結されるまでの経緯
2020年5月 マルウェアに感染
まず、2020年にこのようなメールが届きました。
一部、個人情報の点から伏字にしています。
更新者: xx、2020/05/xx JST
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。ご利用の弊社サービス「xx.mixh.jp」で運用されております
コンテンツに対し、不正なコンテンツが設置されていると外部からの通報がございました。
該当サイトのドキュメントルートをスクリプトが動作しないよう、public_html配下wp-content、
pluginsにございます「upds」のパーミッションを0000に変更させていただいております。パーミッションの設定
https://help.mixhost.jp/hc/ja/articles/115003741972以下、通報全文となりますのでご確認ください。
下記のアドレスにおいて、PayPal の Web ページを装ったサイトが
** 公開されています**** 関係する貴サイトの URL:**
** http[:]//xxx/wp-content/plugins/upds/**
** (xxx.xx.xx.xxx)**
** 確認時刻: 05月xx日 **
** ※上記 URL は、安全のため一部を加工しています。**
** ※確認したブラウザは、Chrome です。**
お客様におかれましては、至急ご確認をいただき、コンテンツ管理者としての
ご対応をいただきますようお願いいたします。
※対象ファイルを削除しても他のファイルも改ざんされている可能性もございますので、
アカウント内の全てのファイルをご確認いただきますようお願いいたします。※改ざんの原因につきましては、弊社サーバーに不正アクセスされた形跡は無く、
お客様のサーバー領域内に設置されたプログラムの脆弱性を悪用したものを思われます。
WordPressをご利用の場合は、必ず最新版にアップグレードし、
テーマやプラグインについても脆弱性が無いかご確認いただきますようお願いいたします。ご回答及びご対応内容につきましては、本メール返信にて
ご連絡いただきますようお願いいたします。本件におきましては 2020/5/xxをご回答及びご対応期限とさせていただきます。
同期限を経過してもご回答及びご対応いただけない場合につきましては
お客様アカウントの一時停止措置を講じることがございますので、
あらかじめご了承願います。ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
サイトは私一人で運営していますので、心当たりもなく、何をどうしたらよいのか分かりませんでした。
そこで、mixhostに次のようなメールをしました。
mixhost御中
お世話になります。
個人でサイトを運営しておりますので、私以外に該当ページをいじる人はいません。不正アクセス、改ざんの可能性ですが、こちらで思い当たる節がなく、
何をどうすればよいでしょうか。少なくても関係する具体的なページを示して頂かないと確認のしようもなく困惑しています。
ご指示いただければ幸いです。
管理人
xx
これに対して、次のような返信がありました。
更新者: xx、2020/05/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。お問い合わせ頂きありがとうございます。
ご回答までお時間をお掛けし申し訳ございません。この度外部の通報によりご案内をさせていただきました。
通報内容は前回もご案内いたしました以下の通りとなります。
- 下記のアドレスにおいて、PayPal の Web ページを装ったサイトが公開されています関係する貴サイトの URL:http[:]//xx.mixh[.]jp/wp-content/plugins/upds/(xx.xx.xx.xx)確認時刻: 05月xx日
確認いたしました所、ファイルマネージャー内public_html配下
wp-content⇒plugins⇒upds/の「upds」内ファイルに「PayPal」又は「PayPal01」の文字列が確認されております。
現在「upds」のパーミッションを0000に変更させていただいております為、
該当のサイトのドキュメントルートをスクリプトが動作しない状態になっております。
念のためご確認いただきたくご案内申し上げます。なお、該当の「upds」はパーミッションが0000になっております為、
以下のURLを参照の上パーミッションを設定していただきご確認願います。パーミッションの設定
https://help.mixhost.jp/hc/ja/articles/115003741972また、「 http://xx.mixh.jp/wp-content/plugins/upds/」こちらにアクセスいたしますと
以下の内容の警告もされております。これは安全でないことが報告されている Web サイトです。
ホスト元: xx.mixh.jp
この Web サイトを閲覧しないことをお勧めします。この Web サイトは、個人情報や金融情報を盗み取る可能性のある、お使いのコンピューターへの脅威を含む Web サイトであると Microsoft に報告されています。
ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
心当たりがまったくありませんが、確かに指定された場所にファイルがあるのを確認しました。
とりあえず指示されたフォルダを削除し、先方に連絡。
mixhost御中
ご連絡ありがとうございます。
ご指摘の通り
http://xx.mixh.jp/wp-content/plugins/upds/
にアクセスすると警告が表示されるのは確認しました心当たりがないフォルダなのでひとまずupdsフォルダ自体を削除してみましたが
これ以外に何かやるべきことはありますか?xx
mixhostからは次のような返答がありました。
更新者: xx、2020/06/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。ご回答までお時間をお掛けし申し訳ございません。
ご対応いただきありがとうございます。この度、外部よりの通報によりご案内させていただきましたが、
この度のご対応内容を外部機関へ弊社よりご連絡させていただきます。
再度、外部機関より通報がございましたらお知らせさせていただきます。なお、mixhostはWordPress専門の会社ではないため、改ざんに
関するお客様のお問合せにつきましては、明確に適切なご案内が出来かねます。そのため、必要というご判断頂いた場合は以下のような、専門会社様にご相談
いただければと存じます。◆ワードプレスドクター
https://wp-doctor.jp/ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
ひとまず、これで終わりました。ここでわかるのは、mixhostとしてセキュリティに力を入れているとか、何か対策をしてくれることはなく、あなたが感染しているから対応しろ!というスタンスであるということです。
2021年1月 2回目の感染
しばらく通常運転でしたが、2回目の感染がありました。
更新者: xx、2021/01/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。ご利用の弊社サービス「xx.mixh.jp」で運用されております
コンテンツに対し、不正なコンテンツが設置されていると外部からの通報がございました。
該当サイトのドキュメントルートをスクリプトが動作しないよう、public_html配下
「wp-content」内「leafmailer2.8.php」のパーミッションを0000に変更させていただいております。パーミッションの設定
https://help.mixhost.jp/hc/ja/articles/115003741972以下、通報全文となりますのでご確認ください。
----Hello,
We have discovered a malicious web shell being hosted on your network:
hxxps://xx.mixh[.]jp/wp-content/leafmailer2.8.php [xxx.xx.xx.xxx]
Web shells are scripts that attackers upload to compromised web-servers in order to gain remote access. When accessed using a web browser, web shells can allow attackers to upload files, execute arbitrary commands on the server, and send spam. Web shells are often used to create phishing or malware attacks on the compromised server.
Attackers often attempt to disguise web shells as benign pages. Common techniques include returning a fake 404 page and making the web shell input fields on the page invisible. Please check the attacker is not attempting to hide the web shell before dismissing this report.
Many thanks,
Netcraft
----お客様におかれましては、至急ご確認をいただき、コンテンツ管理者としての
ご対応をいただきますようお願いいたします。
※対象ファイルを削除しても他のファイルも改ざんされている可能性もございますので、
アカウント内の全てのファイルをご確認いただきますようお願いいたします。※改ざんの原因につきましては、弊社サーバーに不正アクセスされた形跡は無く、
お客様のサーバー領域内に設置されたプログラムの脆弱性を悪用したものを思われます。
WordPressをご利用の場合は、必ず最新版にアップグレードし、
テーマやプラグインについても脆弱性が無いかご確認いただきますようお願いいたします。ご回答及びご対応内容につきましては、本メール返信にて
ご連絡いただきますようお願いいたします。本件におきましては 2021/01/xxをご回答及びご対応期限とさせていただきます。
同期限を経過してもご回答及びご対応いただけない場合につきましては
お客様アカウントの一時停止措置を講じることがございますので、
あらかじめご了承願います。ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
この時も困惑しました。
特に外部から攻撃を受けている心当たりも無いですし、パスワードも乱数を使って定期的に変更していました。
指摘されたファイルを削除し、mixhostに次のように連絡しました。
ご連絡ありがとうございます。
leafmailer2.8.php
というファイルに心当たりが無いのでとりあえず、このファイルを削除しました。ご確認お願い致します。
wordpressは最新を使用し、プログラムも特に思い当たるものが無いのですが、
第三者の手によってプログラムが仕組まれたということでしょうか。何か良い対策方法があればご教授いただければ幸いです。
xx
それに対しての返信です。
更新者: xx、2021/01/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。ご連絡、ご対応いただき有難うございます。
ご対応いただいたファイル削除につきまして通報元に
回答させていただきます。セキュリティ対策としまして、一般的にはWordPressやインストール済み
プラグインを最新のものにしていただく事や、不正ログイン対策を行う
プラグインをインストールいただくなどにて、セキュリティ強化を行っていただく
形になるかと存じますこの度は早急なご対応をいただきありがとうございました。
今後ともmixhostをよろしくお願いいたします。
プラグインの最新化、不正ログイン対策のプラグイン導入、定期的にログインパスワードを乱数で変更、webブラウザには一切のキャッシュを残さない…当たり前にできることは既にやっていましたので、この時点で他に対策できることがなく、もやもやした気持ちでそのまま運営していました。
2022年2月 3回目の感染でアカウント強制停止に
そして恐怖の強制アカウント停止です。
3回目は口調もだいぶ強くなっています。
更新者: xx、2022/02/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。ご利用の弊社サービス「xx.mixh.jp」で運用されておりますコンテンツ内で
弊社サービス及び、他の利用者様に多大な影響を与える恐れがある状況を確認したため
お客様のサーバーアカウントにつきまして、凍結措置を実施させていただきました。お客様アカウントの凍結解除は、初期化が必須となります。
同意いただき次第、初期化を行いますので、ご連絡くださるようお願いいたします。お客様アカウント内CMS等の脆弱性をもとにマルウェアを設置することで
過去事例により下記の動作を確認しております。(一部となります)・フィッシングサイトの設置
・ファイル・サイト改ざん
・お客様cPanelへのログイン
・SPAMメールの送信お客様アカウントの凍結解除は、初期化が必須となります。
同意いただき次第、初期化を行いますので、ご連絡くださるようお願いいたします。ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
このメールを受信したときは、正直状況が理解できませんでした。
今までと同様、まったく心当たりがありません。
とりあえず、次のようなメールを送りました。
お世話になります。
全く身に覚えが無いのですが、具体的にはどう対処すればよいのでしょうか。
xx
それに対して、無慈悲な連絡が…。
更新者: xx、2022/02/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。以前にも2回ご連絡しておりますが、不正なコンテンツの設置につきまして
根本的な対処がおこなわれていなかったために繰り返し再発している状況にございます。対処といたしまして、お客様におこなっていただけることはなく
継続してご利用いただくためにはサーバーの初期化が必要となります。
また、バックアップ等のご提供もできかねます。
恐れ入りますが、何卒ご理解賜りますようお願い申し上げます。その他、ご不明な点などございましたら、お気軽にお問い合わせください。
今後ともmixhostをよろしくお願いいたします。
完全加害者扱いです。
こちらで対策のしようが無く、適切なアドバイスも無く、感染したあなたの問題ですというスタンスです。
たしかにこちら側のセキュリティの甘さかもしれません。
ただし、仕事で運営しているエックスサーバーの方はこのような経験は一度もありません。
この時はかなりの絶望感でした。
とりあえずデータだけ引っ張れないか交渉しました。
mixhost御中
以前にも特定のページで不正の疑いがあると指摘され、そのファイルを削除しました。
その時にも身に覚えがないので、どう対策したらよいか質問しましたが、ファームウェアの最新化などの
対策程度で(最新に自動対応しています)、具体的な方法は指示いただけませんでした。サイトガードというログイン強化のプラグインは入れています。
御社のサービスはバックアップが自動でできることに魅力を感じて契約していたので、
初期化はともかくバックアップも引っ張れないと大変困りますし困惑しています。また、具体的な対策方法を示していただけないと将来的に同じことが起こりるのでどうにもなりません。
何かアドバイスいただけないでしょうか。
バックアップも引っ張れない、対応方法も指示無いならサービス自体解約します。
10年近いデータが無くなることになるので呆然としています。
回答によっては、御社対応について別サーバーで新規ブログ立ち上げて記事にしようと思います。
細かなやりとりがあったあと、無慈悲な連絡が。
新者: xx、2022/02/xx
xx 様
平素は当サービスをご利用いただき誠にありがとうございます。
mixhost abuse対策チームでございます。弊社で詳細を確認させていただきましたが、バックアップのご提供はできかねます。
1)バックアップのご提供について
お客様アカウントのバックアップのご提供はできかねます。
お客様アカウント内に、クレジットカード情報を盗み取る
フィッシングサイトの設置を確認しております。お客様アカウント内に盗み取られた情報が保存されている可能性があるため
バックアップの提供についてはお断りさせていただきます。設置しておいたデータの復旧をご希望であるお気持ちは重々承知しておりますが
フィッシングサイトの被害者から警察等への通報があった場合
お客様ご自身がサイト管理者としての責任を問われる可能性もございます。そういった危険性からも、弊社サポートといたしましては
どのような方式であれ、お客さま領域へアクセスができる状態にすることはできかねます。2)WordPressのセキュリティについて
お客様アカウント内のWordPressを含むプログラムにつきましては
お客様ご自身で維持管理していただく必要がございます。フィッシングサイトの設置並びに、改ざんの原因につきましては
弊社サーバーに不正アクセスされた形跡は無く
お客様サーバー領域内に設置されたWordPress等の脆弱性を悪用したものと思われます。
過去にはWordPressの脆弱性を悪用し改ざんされる事例もございました。
- WordPress 用FileManager を標的としたアクセスの観測等について - 警察庁
https://www.npa.go.jp/cyberpolice/important/2020/202011201.html弊社ではWordPress等の脆弱性、改ざんについてはサポート対象外となります。
お客様ご自身で対応していただく必要がございます。そのため以前のフィッシングサイト設置時には、一般的なセキュリティ対策と
WordPress専門会社様にご相談を検討されるようにご案内させていただきました。弊社サポートポリシーにつきましては、下記ページをご確認ください。
https://help.mixhost.jp/hc/ja/articles/115003733431
その後、サイトは非公開のままでよいので、データーだけ引っ張れないか何度か交渉しました。今までの経緯は記事として公開するというと、弁護士から連絡が来たりとなかなか大ごとにもなりました。
結局、データは引っ張れず泣き寝入りです。
旧ブログには500記事以上ありましたので、しばらくはブログを書く気力はありませんでした。
【結論】mixhostは最悪。絶対おすすめしないレンタルサーバー
結論からいうと、mixhostはおすすめしません。最悪。
まず、世の中でmixhostを絶賛されている方は、アフィリエイト目的です。
もはや、おすすめする理由が見つからない。これでも、契約したいですか?
kinstaで復活
新規でブログを立ち上げるにあたり、金額は高くても強いサーバーにした方が良いと考えるようになりました。
会社で使っているエックスサーバーでも良いのですが、強いサーバーでモチベーションを上げたかったのです。
いろいろと調べて、一番強そうなkinstaにしました。
kinstaのよいところは、24時間、チャット感覚でサポートしてくれるところです。英語のみですが、翻訳ソフトなどでどうにでもなります。ネームサーバーの設定方法など、少しわからなくて問い合わせたときも、すぐに対応してくれます。
また、管理画面も含めて、とにかく速い。
高速化の施策をしなくても、mixhostよりもPageSpeed Insightsのデーターも、体感的にも明らかに速くて安定しています。
また、自動で24時間ごとにデータのバックアップができ、表示されているサイトとは別に、テスト用のドメインが用意されています。そちらで別のテーマをインストールして編集、問題なければ本番サイトへ適用という作業がかんたんに行うことができます。
結果的に、快適に運営できるKinstaに乗り換えて本当に良かったと思っています。