札幌Web制作のシンクグラフィカ

tomoさん (2018-03-14 12:00:02) test.jp

先週末メールフォームプロ4を設置したお客様のサイトがアクセス制限をかけられました（Webアクセスを行うと403エラーになる処置）

Xserver カスタマーサポートからは、以下のような内容が届きました。
----------------------------------------------------------------
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ（脆弱性）が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
----------------------------------------------------------------
検出された不正なファイルには、メールフォームプロ4とワードプレスのファイルが多数検出されました。
サーバー上のファイルをダウンロードして調べると多数のトロイの木馬系のマルウェアも含まれておりました。

サイト運用者のセキュリティ意識が甘く、SSL化していなかったり、
ワードプレスの更新をさぼっていたりという問題があったので、
ワードプレスが攻撃を受けるのは分かるのですが、
メールフォームプロ4もかなりやられていたのが気になっております。

メールフォームプロ4はとても使いやすく、愛用させて頂かせております（自分のサイトでも現在使っております）

こんなことがあったので、今後使い続けても大丈夫かどうか不安なのですが、セキュリティを強化する方法などありましたら教えて頂きたいです。

とりあえずSSLは入れておりますので、あとはファイルやフォルダごとにアクセス制限をかけるくらいしか思いつかないのですが、できましたらどのように対策すればよいか教えて頂けますでしょうか。

よろしくお願いいたします。

メールフォームプロ4　セキュリティを強化する方法

tomoさん (2018-03-14 12:34:37) test.jp

行われた具体的な内容などを情報共有として以下に記します。
ちなみにサポートからは以下のような内容も書かれておりました。
-----------------------------------------------------------------------
お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、該当脆弱性を悪用されてしまった可能性が高いものと思われます。
-----------------------------------------------------------------------

mailformpro/data/request/の中に通常は存在しない
「creouolh.php」が入っており、これがSendmailで大量のメール送信処理をしたと思われます（不審なアクセスログが集中していたので）


またダウンロードしたファイルから、Microsoft Security Essentialsがトロイの木馬系のマルウェア警告を出した一部を以下に記します。

mfp.statics/google.spreadsheet.connect.js
mailformpro/add-ons/attachedfiles.js
mailformpro/add-ons/prefcode/prefcode.js
mailformpro/add-ons/request/request.js
mailformpro/configs/lang.en.js
mailformpro/data/mfp.cache.js
mailformpro/librarys/core.js

他にも色々なファイルがありましたが、ご参考までに・・・・

Re:メールフォームプロ4　セキュリティを強化する方法

tomoさん (2018-03-15 10:09:30) test.jp

早々にご返答ありがとうございます！
WP経由で同サーバのファイルを書き換えられるということがあるのですね・・・
安全なローカルのデータを同じようにアップするだけで、メールフォームプロ4のファイルやフォルダにアクセス制限をかけるなどの対策は不要でしょうか？