それはさくらサーバーからの「【重要】サーバ上に設置されているファイルについて」というメールから始まりました。

内容を簡単にまとめると。。。

  • 下記のパスのファイルが原因でサーバーの負荷が著しい状況だからファイルに記述されてる内容を確認してね。
  • 悪意ある第三者によってファイルの設置、改ざんが行われて不正アクセスの踏み台にされてるかもよ。
  • 万が一司法機関より然るべき形で問い合わせがあると弊社サポートの範疇を超えることになるよ。
  • これ以上自体を悪化させない為にも72時間以内にファイルの確認やパスワードの変更など確認してね。
  • 期限経過後も改善がみられなかったらログインパスワードの矯正変更や停止を事前予告なく実施しますよ。

というような少し怖い内容のメールがきていました。

そしてさくらサーバー側がパーミッションを755から0へ変更していてサイトが見れない状態になっていました。

このパーミッションだとFTPでフォルダ内にアクセスもできないしパーミッションも変更できませんでした。

どうするんだよって頭を抱えていても仕方ないので色々と調べた結果シェル操作が出来るようです。

そして状況を把握するためにシェル操作でパーミッションを変更する前にコントロールパネルにログインしてメニューをクリックしながら眺めているとメールの送信数がすごい事になってました。

メールがきたのが4月20日なのですが4月の初旬からずっと1万以上のメールを送信していました。

対応後はずっと0件が続いていたのですが5月18日に再発しています。

5月はさくらサーバーからのメールではないのですが、運営サイトの問い合わせメールで発覚しました。

さらに5月はスパムメールの踏み台のみならず、スマホでアクセスしたら怪しサイトに飛ばされていました。

対応したのは4月と5月の2回ですが、それぞれ何を対応したのかなぜ5月に再発したのか次の記事で話します。

「さくらサーバー」WordPressがスパムの踏み台に!1回目の対応は間違っていた!?

「さくらサーバー」WordPressが乗っ取られた時にやった対処方法