サイトが乗っ取られていた!
自分のバンドのサイトを Vue.js を使って作り直しているが、5言語(日中韓英西)切り替えをURLに反映させる、ルーティングの実装ができてないので、まだ本公開していない。
Vue Router を勉強してルーティング実装に取り掛からねばと思いつつ、静的HTMLで構築した Geronimo Label 現行サイト を数日ぶりに何気なく開いた。
すると恐ろしいことが起きていた。
ページトップに、「乗り換えと地図の総合ナビ!」の広告がデカデカと出ている。はぁ??
正体は、htmlファイルの head 閉じタグの直前に仕込まれたスクリプトだった。
id="_kiss-overlay" src="https://venue-files.locatise.io/clusters/4/starter.js?e=d6deb1" type="text/javascript"
srcに飛ぶと 下記で始まる難読化コードが延々と続いていた。
!function(e){var t={};function __webpack_require__(n){if(t[n])return t[n].exports;var ...
コードを辿って原因究明を試みる記事も見つけたが、自分にはお手上げである。
https://www.cottonwool.jp/blogs/try/331/
24個あるhtmlファイルのうち、index.html/live.html/cd.html/profile.html/youtube.html 5のファイルに、同じスクリプトが埋め込まれていた。それぞれの、中・韓・英・スペイン語ファイルは無事だった。
とにかく、書き換えられた5ファイルを速攻でサーバーから削除し、クリーンなファイルをアップロードした。そして、ログインパスワードを変更した。
サイト自体は20年近く運営しており、今のレンタルサーバーに移行してからも7〜8年ぐらい経つが、自分自身が攻撃を受けてサイト改竄されたのは、まったく初めてだ。正直、かなりショックである。
去年の秋に念願のSSL化を果たした後なのに、どうしてこんな攻撃を受けたんだろう?
攻撃した人は、SSL化以前に、サーバーに侵入していた、あるいはパスワードを奪取して鳴りを潜めていたということなのか?? ログインパスワードは、記号含む16文字のランダムな英数字なのに、総当たり攻撃で破られたのか??
どうせ侵入したのなら、もっと大胆にファイル書き換えて、例えば「香港を皮切りにアジア10都市ツアー大成功!」とか、ジェロニモレーベルが実は癒し系音楽であるとか、内容をメチャクチャにできそうなのに、なんでまた「乗り換えと地図の総合ナビ!」広告なのか?
あ、そうか。広告をクリックさせて、変なサイトに誘導することが目的だからか。
まったく意味がわからないが、しかしサイト改竄が他人事でなくなった以上、何らかの対策はせねばならない。。。
WEBサイトの脆弱性を定期的に診断するSiteLockというツールがあるようだ。1ドメインあたりの値段は、エントリープラン年間数千円、マルウェアの除去までしてくれるレギュラープランだと、1万5千円ぐらいか。
https://keiei.co/sitelock/
うーん、悩む。とりあえず情報収集するしかない。