ad

2012年4月21日土曜日

「メール大量配信を確認致しました」対応履歴

以前、制作したサイトのサーバー会社から「【ロリポップ!】メール大量配信を確認致しました」というサブジェクトのメール通知を受けるようになったのが2012年4月11日
断続的に夜の0時から朝まで、おおむね300通のメールが送信されているとのこと。
このメールサーバーは基本的にメールフォームでの受信以外に使用していない。従ってメールを送信することはほぼ無い。
この問題、こちらとしては不都合が無い(むしろサーバー会社の方が問題)ので、そのままにしておいても問題はないが、念のため問い合わせると、私が契約者でないことからサポートを拒まれた。(2012年4月12日
緊急性が無いが緩慢に問題克服にあたることにした。

【サーバ会社通知メール「【ロリポップ!】メール大量配信を確認致しました」以下転載】

平素はロリポップ!レンタルサーバーをご利用頂きありがとうございます。

契約中のサーバースペース【●●●.jp】より、 【 301 】通のメール送信を確認致しました。

禁止事項で定めた、1時間あたりのメール配信数を超過しております。 その為、現在アカウントからのメール送信を制限致しております。

ロリポップ!レンタルサーバーは共用サーバーとなり、 禁止事項に記載された制限値を超えるメールの配信については お断り致しております。

■ロリポップ!レンタルサーバー - 禁止事項 http://lolipop.jp/order/kinshi/

尚、お客様よりメールの配信操作を行なわれていない場合、設置スクリプトの メール通知機能やメール送信スクリプトの不正利用により大量メールの配信が 行なわれている可能性がございます。

スクリプトのメール通知機能を停止頂くことや、脆弱性が確認されている場合は、 配布元をご確認頂き、バージョンアップなどの対策を行なってください。

※設定の日時を越えると制限は解除致します。


2012年4月21日、サイトのメールフォームに問題があるかも知れないと考え、WordPressのログインを試みるがパスワードが変更されている。
とりあえず、独自ドメインとは別のデフォルトのアドレスのログイン画面より通常アカウントでログインが可能。
ログイン後、システムのバージョンをアップグレード(旧バージョン未確認、最終的にバージョン3.3.2)
またメールフォーム用プラグイン「Contact Form 7(バージョン 3.1.2に)」と未使用のスマートフォンコンテンツ表示用プラグイン「WPtouch(バージョン 1.9.40で)」をアップグレード。
テーマ「Twenty Ten」はバージョン 1.1。のままにしておく(旧バージョンカスタマイズ済みなので手間がかかるため)。


2012年4月23日、依然として改善されない。メールシステムの問題と考え、デフォルトのメールアドレスのログイン・パスワードを変更。
それでも改善しないので、デフォルトのメールアドレス自体を削除しようと試みる。
デフォルトの・メールアドレスは削除できない仕組みになっているので、レンタルサーバー全体のパスワードを変更。

再度「大量メール送信」のレポートが夜中から朝まで続くが、手は打たずにそのまま放置していると翌日の夜中から朝までの間にレポートが届かなくなった。

以上で、しばらく様子を見る。


2012年4月30日、「メール大量送信を…。」レポートが来なくなった。スパマーもゴールデン・ウィークかと思い放置して、 2012年5月1日にサイト自体を確認したところ、ZenPHOTOで構築されているトップページに「setup scripts missing」と表示される。
FTPで確認すると、おおむね2日前の2012年4月29日にファイルが更新された形跡がある。
ロリポップ!レンタルサーバーが別サービスで警告(レンタルサーバー「heteml」 - サイト改ざんへの対策をお願いいたします)しているのとは少し状況が違う。
以下のサイトの方が今の状況に近いので参考にする。

無料CMSの危険性とガンブラー感染事例 htaccessを不正操作しウイルス配布サイトへ誘導Zenphotoとphpmyadminの脆弱性に注意 - ウイルス対策ソフト比較/無料版あり評価ランキング30tx

ようするに、一旦ZenPHOTO全てのファイルを削除して、最新版をアップロードし、カスタマイズした部分をアップロードし直しす方法。
現在これで問題は起こらなくなっている。
さらにしばらく様子を見る。


2012年5月5日、「メール大量送信を…。」レポートが再び送信されるようになった。
クライアントにメール問合せ代行していただきサポートとの指示を仰ぐ事にする。


2012年5月7日、ロリポップ!レンタルサーバーから以下内容の通達が4月24日付けで公表されている事に気がつく。とはいえ、実被害はそれよりさかのぼること2週間くらい前なので、遅いと言えば遅い。

WordPress3.3.2未満をご利用のお客様へ / 新着情報 / お知らせ - ロリポップ!

問題はとっくにWordPressのアップグレードが完了しているにもかかわらず、不具合(メールの大量送信)は続いているので問い合わせるほかないのか…?

また、例によってPHP周辺で脆弱性が確認されて、緊急アップグレードがあったようだ。これは、しばらく様子を見た方が良いかも知れない。
一時対応ポーズ、問題を注視。

【重要】PHP5.2及びPHP5.3の脆弱性への緊急対応につきまして / 新着情報 / お知らせ - ロリポップ!


2012年5月11日、「メール大量送信を…。」レポートが再び送信されるようになった。
再度クライアントにメール問合せ代行していただきサポートとの指示を仰ぐ事にする。


2012年5月14日、メールにてロリポップ!レンタルサーバーへ問合せ。以下のような返答が帰ってくる。

この度はお問い合わせいただき、誠にありがとうございます。

ご連絡をいたしておりますメールの大量送信についてはお客様のご契約【lolipop.jp-xtra】のサーバー上にある下記ファイルにて、行われておりました。

/collection/indexre3.php

ご確認をよろしくお願いいたします。

お心当りの無い場合には、該当ファイルの削除を行ってください。

なお、お客様がメールの配信操作を行なわれていない場合、設置スクリプトのメール通知機能やメール送信スクリプトの不正利用により大量メールの配信が行なわれている可能性がございます。

スクリプトのメール通知機能を停止いただくことや、脆弱性が確認されている場合は、配布元をご確認いただき、バージョンアップなどの対策を行なってください。

今後、メールの送信を行なわれる際には、制限の範囲内で行なっていただきますようお願いいたします。

メール・フォームはあってもメール配信はしていない。それにしても相変わらず失礼な文章だ。


2012年6月17日、問題がないか確認している時にログイン画面の有力フィールドがなかなか表示されにという現象が数日前から起こっていた。
FTPでファイルを調べるとトップと「collection(ZenPHOTOのトップ)」「wp-content」にまた「.htaccess」 がわいていた。エディタで開くと以前同様の「トロイの木馬」特有の数字の羅列が記述されている。
またトップ・ディレクトリには「mt44844559n.php」という見覚えのないファイルがあった。
「index.php」は覚えのない日時に変更された形跡があったので、内容を確認したところ、感染していた。

これらは、全てマニュアルで削除した。
また、この際の確認で判明した問題として「メールフォーム」が表示されない(正確にはWordPressのプラグイン「Contact Form 7」がアクティブになっていない。管理画面でも表示されない)状態にあったので、ファイルを確認したところ「index.php」が感染していた。
これらはプラグインフォルダー後と削除し、最新版(7.3.2)にアップグレードした。


2012年6月22日、問題がないかWebページを確認。
「警告: 不正なソフトウェアが存在する可能性があります」アラート画面が表示される。

「セーフ ブラウジング診断ページ」をクリックすると以下のように表示される。

「Google ウェブマスター ツール」で確認したところ、問題のサイトに「サイトの状態に重要な問題が発見されました。 - サイトの状態を確認する」と表示される。
「サイトの状態を確認する」をプレスすると「マルウェア」に感染したことがわかる。

「不正なソフトウェアが検出されたかどうかをチェック」をクリックすると以下のように表示される。

「詳細」をクリックすると以下のように表示される。
マルウェア


URL: http://www.hoge.net/
最終確認日: 2012年6月22日

一般的な問題
前回このページをテストした際、サーバーからコンテンツが返される代わりに、悪意のあるウェブページにブラウザがリダイレクトされました。サーバーの構成が改ざんされている可能性があります。
今回、前回までとは異なることは問題となる「不正ファイル(ドット・ファイルを含む)」が見当たらないことだった。
原因がトップ・ディレクトリであることはわかっているので、とりあえず、「wp-content(カスタマイズを含むので)」以外のトップのファイルをバックアップ(ダウンロードしたWordPressのアーカイブから解凍したもの)をアップロードし入れ替える。
「警告: 不正なソフトウェアが存在する可能性があります」アラート画面は改善されない。

次に「(ZenPHOTO)/zp-data」という、元々存在しないディレクトリとファイルを削除。
「警告: 不正なソフトウェアが存在する可能性があります」アラート画面は改善されない。

Googleから参照するように薦められる StopBadware - Tips for Cleaning & Securing Your Website を参照して、おおむね描かれている問題は対処したとして、「Google ウェブマスター ツール」での審査リクエストを実行した。
「警告: 不正なソフトウェアが存在する可能性があります」アラート画面は改善されない。

対処法を調べているうちにMovableTypeで同様の問題に遭ったケースの報告を発見した。

stone::tamaki: ハッキングされた!

やはりここでも問題の引き金はZenPHOTOのようである。

2012年4月19日木曜日

リンク切れを自動でチェックしてくれるプラグイン Broken Link Checker

元記事がなくなってしまったり、URL を間違えてしまったり、うっかりでもそうじゃなくてもリンク切れが発生することはあると思います。 そういったリンク切れを自動でチェックしてくれるのが、Broken Link Checker というプラグイン。

記事はもちろん、ページやブログロールもチェックしてくれます(オプションでカスタムフィールドも)。
切れてしまったリンクと画像があれば、ダッシュボードに「リンク切れしてるよー」と通知してくれます。
リダイレクトされたリンク数も集計されます(これはちゃんとした挙動なのか微妙なところですが)。

プラグインの使い方は以下の通り

リンク切れを自動でチェックしてくれるプラグイン Broken Link Checker | understandard

2012年4月4日水曜日

ブログパーツ.jp

twitterフォロワーさんだったけど気がつかなかったよ。
知りませんでした。
ブログパーツを集めたサイトです。これからお世話になるかもです。

ブログパーツ.jp

2012年4月1日日曜日

Pinterest

機能にもツイッターと共通点がある。ツイッターは最大140文字の短文を投稿するサービスだが、ピンタレストはその画像版と考えれば分かりやすい。雑誌などから気に入った写真を切り抜いてコルクボードに画びょうで留める要領で、ネット上の画像を自分のボードに貼り付けて広めていくというのが基本的な考え方だ。
貼り付けた画像に自分や他人がコメントを書き込むことができる。他人のボードの画像を自分のボードに複写することを「リピン」と呼び、ツイッターの「リツイート」に相当。他の利用者やその個別のボードを「フォロー」することも可能で、このあたりもツイッターとの共通点を感じさせる。ただ、文字ではなく画像が基本のため、言葉の壁を越えやすいという印象だ。

米ピンタレストは「第2のツイッター」か、画像収集・共有の利用者1800万人  :日本経済新聞

Pinterest / Home