札幌Web制作のシンクグラフィカ

メールフォームプロ4 セキュリティを強化する方法

tomoさん (2018-03-14 12:00:02) test.jp

先週末メールフォームプロ4を設置したお客様のサイトがアクセス制限をかけられました(Webアクセスを行うと403エラーになる処置)

Xserver カスタマーサポートからは、以下のような内容が届きました。
----------------------------------------------------------------
サーバー用メール送信ソフトウェア(Sendmail)を用いた
日本国外のメールアドレスに対する大量のメール送信処理を確認いたしました。

当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
----------------------------------------------------------------
検出された不正なファイルには、メールフォームプロ4とワードプレスのファイルが多数検出されました。
サーバー上のファイルをダウンロードして調べると多数のトロイの木馬系のマルウェアも含まれておりました。

サイト運用者のセキュリティ意識が甘く、SSL化していなかったり、
ワードプレスの更新をさぼっていたりという問題があったので、
ワードプレスが攻撃を受けるのは分かるのですが、
メールフォームプロ4もかなりやられていたのが気になっております。

メールフォームプロ4はとても使いやすく、愛用させて頂かせております(自分のサイトでも現在使っております)

こんなことがあったので、今後使い続けても大丈夫かどうか不安なのですが、セキュリティを強化する方法などありましたら教えて頂きたいです。

とりあえずSSLは入れておりますので、あとはファイルやフォルダごとにアクセス制限をかけるくらいしか思いつかないのですが、できましたらどのように対策すればよいか教えて頂けますでしょうか。

よろしくお願いいたします。

メールフォームプロ4 セキュリティを強化する方法

tomoさん (2018-03-14 12:34:37) test.jp

行われた具体的な内容などを情報共有として以下に記します。
ちなみにサポートからは以下のような内容も書かれておりました。
-----------------------------------------------------------------------
お客様のサーバーアカウントにおいては不審なFTPアクセスが見られないことから、消去法的なご案内となりますが、お客様が運用中のプログラムに脆弱性が存在し、該当脆弱性を悪用されてしまった可能性が高いものと思われます。
-----------------------------------------------------------------------

mailformpro/data/request/の中に通常は存在しない
「creouolh.php」が入っており、これがSendmailで大量のメール送信処理をしたと思われます(不審なアクセスログが集中していたので)


またダウンロードしたファイルから、Microsoft Security Essentialsがトロイの木馬系のマルウェア警告を出した一部を以下に記します。

mfp.statics/google.spreadsheet.connect.js
mailformpro/add-ons/attachedfiles.js
mailformpro/add-ons/prefcode/prefcode.js
mailformpro/add-ons/request/request.js
mailformpro/configs/lang.en.js
mailformpro/data/mfp.cache.js
mailformpro/librarys/core.js

他にも色々なファイルがありましたが、ご参考までに・・・・

Re:メールフォームプロ4 セキュリティを強化する方法

和田 (2018-03-15 03:11:49) www.synck.com

メールフォームプロ自体には任意のファイルをアップロードしたり、書き換えたりする機能自体が無いため、WP経由でサーバにホストされているjsファイルを書き換えられたか、FTP情報が抜かれたかのいずれかだと思われます。

恐らくローカルのデータ(オリジナル)にはそういったコードやファイルは含まれていないと思いますので、アップロード時のオリジナルデータが残っておりましたらそちらをご確認ください。

Re:メールフォームプロ4 セキュリティを強化する方法

tomoさん (2018-03-15 10:09:30) test.jp

早々にご返答ありがとうございます!
WP経由で同サーバのファイルを書き換えられるということがあるのですね・・・
安全なローカルのデータを同じようにアップするだけで、メールフォームプロ4のファイルやフォルダにアクセス制限をかけるなどの対策は不要でしょうか?

Re:メールフォームプロ4 セキュリティを強化する方法

和田 (2018-03-15 12:10:54) www.synck.com

どういったウィルス・マルウェアかにもよるのですが、サーバのデータ改竄に関してはFTPソフトへの感染の可能性やWP自体の脆弱性やテーマ・プラグインの脆弱性を利用したものが多いため
・PCのウィルスチェック
・FTPパスワードを変更
・サーバのデータは全削除
・ローカルの感染していないデータを再アップ
・WPのアップデート
・WPのプラグインもアップデート(更新の古いものは使わない)

などを行うとよいと思います。
メールフォームプロ4のファイル等にアクセス制限をかけた場合でもWPの脆弱性などを利用された場合、サーバにホスティングされているプログラム経由で改竄等を行われるため、恐らく意味が無いです。FTPソフトがクラックされている場合も同様なので、まずはPC環境への感染が無いかもご確認ください。