しばらく放置していたら、サイトが改竄されていた

PAK_MT9V9A6980_TP_V

夏くらいから仕事が忙しくって、しばらくブログを放置していたんだけど、
先日ふとGoogle Analyticsのアクセス数を見ていたら、アクセス数が激減している事に気づいた。
どうも「Organic Search」、つまりGoogleなどの検索エンジンからのアクセスがほぼ0になっているようだ。
それまでは日に200から300程度のアクセスがあったので、明らかにおかしい。

なんかペナルティでもくらったかなーと思って、Googleで検索してみると、
別に順位は落ちていなかった。
ただ・・何かがおかしい。
検索結果のスニペットが全部英語になってる???

スニペット
※画像はすでに修正済みだけど、気づいた当時はここが全て英文になっていた。

リンクをクリックすると、一瞬自分のサイトにアクセスするもののすぐに海外の関係ないサイトに飛ばされてしまう。
どうも、アクセス数が激減したのはこれが理由らしいが、原因がわからない。
軽く調べてみると、症状は以下の通り。

  • 直接サイトにアクセスすれば、問題なく見られる。(そのため、管理者は気づきにくい)
  • googleの検索結果からアクセスすると、別サイトに飛ばされる(他の検索エンジンでは調べなかった)
  • アクセス数が激減していることから、自分のPCがマルウェアに感染したとかではなさそう

状況から考えれば、自分のサイトに原因がありそうなんだけど、
忙しかったので、その時はあまり詳しく調べられなかった。
それから暫くして、なんとなくサーバーのソースを確認したところ、
記憶のないディレクトリやファイルが配置されている事に気づいた。

 

「改竄されとるやんけ・・・」

 
何をどうやってどうしたのか、何のためにやったのかはさっぱりわからないけど、
特定のルートでアクセスされた場合、どっかに飛ばされてしまう感じにされたっぽぃ。

 

「これ、このままにしとくと不正なサイトとして報告されてしまうな・・」

 
とりあえず、復旧しないとまずそう。
でもどう改竄されたかわからないので、ファイルバックアップも信用できない。
しょうがないので、AWSのスナップショットから復元した。

幸いDBは別サーバだし、プログラムファイルはローカルPCのリポジトリに開発時のソースが残ってる。
画像ファイルだけは本番サーバーにしかなかったので、そこだけはファイルバックアップから復元した。
これで、サイトの復旧はできたけど、このままではまた侵入されてしまうなぁ。
ただ、どうやって侵入されたかはわからないから穴も防ぎようがないんだよね。
さて、どうしたものか。