サイト改ざんが怨恨か無作為かと不安な思いがありましたが、
借りているサーバから次のようなアナウンスがありました。
○対象と時間 s172サーバー(私が使用しているサーバーです) 2006年12月11日午前1時~午後11時頃
○内容 ディレクトリ /virtual 内のHTML関連ファイル群にタグ・コードが追加されました。
○対応 9日時点のバックアップファイルと照合し、データが変わっている、コードが 追加されているファイルに関しまして、元の状態に戻させていただきました。 また、11日午後の時点で原因の特定と、再発防止処置を施しました。
○原因・経緯 11日午前1時頃に、あるソフトウェアの脆弱性を突き、/virtual/以下の書き換えが 行われました。 ログをたどりますと、まず、内部ユーザーからの攻撃による書き換えと判明しました。 更に、当該ユーザーアカウントを調査しますと、外部からの改竄と思われる状況がありました。 当該ユーザーの接続ログでは、中国圏の複数の端末から、多数のログイン履歴があり、 組織で共有使用されているようでした。 更に調査しましたが、設置されているソフトから判断し、今年4月頃の時点で PHPBBのセキュリティホールを突かれ、当該ユーザー様の内のデータを入手され、その上、 管理パスワードを入手され、そのパスワードがグループで共有されておりました。 また、サーバー内部の脆弱性のあるプログラムを検索するCGIを設置されおりました。 s172サーバーにおいて、11月26日より、ライブラリの依存関係が理由で変更した特有の状態があり、 原因となるソフトウェアと手法については、比較的早期に把握できました。 特定後、ソフトウェアを削除し、当サービス内の他サーバーでは再現しない事も確認しました。 ソフトウェア名、バージョンなど詳細な情報につきましては、今後公開するか検討したいと思っております。 ○今後の対策 セキュリティ維持に関しましては、最低限すべき事であり、最大限努めるべき事であると考えています。 (中略) また、悪意を持ったグループに、特に内部から、監視されるような状況がありますと、 脆弱性の対応までの短時間の間にでも、攻撃に晒されることになり、間に合わない場合もあります。 悪意を持った者から、好奇の目を向けられないためにも、予防策と治安維持策として、 放置されているアカウント、管理者自身でサイトの更新がなされていないアカウントについて、 凍結・停止させていただくなどの対策を、今後検討したいと思います。
サーバー全体がのっとられた状態だったようです。
サーバー側で対処してくれたようなので、
サイトをそのままにしていれば元に戻ったのかもしれないのですが、
旧サイトのこともいろいろ考えましたし、
苦労して再構築したことは、
私にとっては良かったと思っています。
とりあえず、ホッとしました。