Q&A
元々どうやってインストールを?
ただ、空っぽはともかく、インストールしたとして復旧可能なデータはあるのですか?
先日サイバー攻撃を受けたサイトの復旧を依頼されたのですが、よくよく聞くと
/var/www/
直下の中身をごっそり消されてしまった模様でした。
元々はこの直下にwordpressをインストールしていたのですが、ここへのwordpressのインストール方法がわかりません。
DBをつくる?
MySQL?
phpAdmin?
いつも案件として受けているのでwordpressのインストールは技術的にできると思っていたのですが、空っぽの中に(データベースもない)インストールするやり方が分からず………
「サイトが攻撃受けちゃってwordpressがリセット?されちゃったみたいでさ〜デザインつくりなおしてよ〜」
「がってんです!」
↓
いざサーバーを見てみると
「え……何もないですけど」
「いや知らんからwordpress入れてよ」
「いや、MySQLも使えないし、wordpressをwww直下に入れたけどアクセスできないんだよ。元々どうやってwordpress入れたの?」
「そんなん知らんわ本社海外だし日本版だけ攻撃受けたんだから」
「え……私サーバー屋さんじゃなくてデザイン屋で…いうなればこれは大工呼ばないとだめで、内装屋じゃどうにもならないっていうか……」
「知らんがな」
本社「wp-configを書き換えれば設置できますよ」
私「せやからごっそりないんやて!お願いやから見てくれって!」
本社「wp-configを〜」
私「いやだから見てないでしょ?!/var/www/の中身がごっそりないの!だからmysqlがないの!ってかそんなこと言うならwordpress設置してよ!!」
本社「wp-co以下同
先方はターミナルで確認をしているようで、まるごと中身がないことを伝えても「見れてます、ですからwp-configを……」の一点張りでした。
これってつまり、どこかにmysqlがあるってことですかね?
###new!!!
ターミナルからSSHを使用し、mysqlを更新することがようやくできました!!!!
いざユーザー名など入力してみた結果……だめでしたTT
進展ありましたらまたここに追記します。
誰か知恵を貸してください…!
よろしくお願い致します。
※ちなみにサイバー攻撃をうけたのは本当のようです
余計なお世話を書くと、
またサイバー攻撃を受けても大丈夫なように対処するのが先では?
バックアップは何もないのでしょうか?
コメントありがとうございます!
復旧可能なデータはないというか、空っぽになったところに新しく新築を立ててしまえというイメージです。
元々のインストール方法が、本社が海外のため確認がとれないというところでして……
>Orlfskyさま
ありがとうございます!
ほんとはそうなんですけど……なにぶん外注先のしがないwebデザイナーなもので……
まさかこんなにごっそりなくなってるとは、という感じなんです。wordpressがリセットされたみたいで〜と依頼主に言われたのを鵜呑したのが間違いでした。
>meg_さま
バックアップが何もないんです……
ごっそりからっぽなんです……
ワードプレス インストール
で検索して試すとか(公式ドキュメントもあるはずで)、やれることはあるのでは。
いきなり本番が怖いなら自身のローカルとかテストサーバとか幾らでもやりようはあります。
ただ、新規にインストールしたとして、それは空っぽのWordPressです。
復旧までに要する工数や手順など確立してからでないとインストールしたとして一歩も進めないのでは。
いや、弊社テストサイトでwordpressはインストールして、テストサイトはできてるんです。
だからあとはテストサイトから本番への引っ越しだけなんです。
と思った矢先に本番サーバーになんにもない、という話なんです。
MySQLにも触れなくて、どうしたらいいのか……
専門外なら断った方が良さそうな気はする。
話の流れを聞く限りクライアントも良く理解してなさそう
まさにまさに!そうなんです、クライアントが一番よくわかってなくて、なまじ少しだけwebの知識(wordpress使えるぜ)があるので、それがまたややこしくなっていて……
ぶっちゃけめちゃくちゃ断りたいです……
この空っぽサーバーにwordpressをインストールさえしてしまえば、あとはどうとでもなるのですが……
質問者さんもよくわかってないなら専門家に入ってもらった方がいいのでは。
もう少しクライアントと話し合った方が良いと思います。
変な話、ある程度説明をうけてわかるような内容なら私の方でやっちゃいたいというのが本音でして、なので質問させていただいた次第です…。
専門家の可能性を考えたほうが良さそうですね……
実は専門家を入れたらと言ったら
「いやここで専門家入れたらお前依頼した俺がめっちゃ怒られるじゃん」
って言われてるところなんですよね。
お客様からしたら復旧すれば良いので手段は問わないのでは。
それに社内ではインストールできてるのに相手先にはできない理由が不明です。
> バックアップが何もないんです……
> ごっそりからっぽなんです……
バックアップは他の場所に取るものなのでそのサーバーが空っぽとか関係ないかと。
> 元々のインストール方法が、本社が海外のため確認がとれないというところでして……
もしかして本社には事態を隠しているんですかね。。
MySQLのデータが空なのか、MySQLそのものがない(アンインストールされている等)のか、どちらでしょうか? 後者ならLinuxのroot権限が必要なのですが、どうでしょうか。
>m.ts10806さま
元々インストールできてた→これはたぶんサーバー内の諸々の「土壌」がしっかりしていたときだからインストールできたんだと思うんです。今は/var/www/の中がごっそり空っぽですから……
>megさま
どうやら海外の本社が「いや自分で撒いた種っしょw」みたいな感じで全然協力してくれないみたいです……社内にインフラチームがあるにも関わらずつかないらしいです……
MySQLだけでもどうにかなればもうこっちのもんなんですけど…とはいえphpも入ってるのかどうかわからないし……
>ockeghemさま
ありがとうございます!
このあるなしって、どうやって見つけるものですか?
/var/www/
の中身は空っぽなんです。すっからかんです。
> /var/www/の中身がごっそりないの!だからmysqlがないの!
> これってつまり、どこかにmysqlがあるってことですかね?
MySQLがインストールされているか確認されてはどうでしょう?サーバーのOSが不明なので確認方法は調べて下さい。
>megさま
ありがとうございます!
サーバーのOSは……どうやって調べればいいのでしょうか……今ググったんですけどさっぱりわからず……
/var/www/ 配下はWebルートだと思うのでMySQLはそこにないと思います。
teratermなどのツールでサーバーログインしてmysqlコマンド打てば分かります。FTPからでは分かりません。(もちろんsshなどポートが開いてたらの話。外部から侵入されてる時点で色々かえられてるかもしれませんけどね)
そういえば「/var/www/配下がごっそりない」ってどうやって確認したんでしたっけ。コメント見た感じ、質問者さんが言ってるだけでどう確認したかが分からない。
>m.tsさま
ありがとうございます!
macユーザーなので、今ターミナルで接続できないか確認しているのですが、色々変えられている可能性はありますね…ありがとうございます…!!!
>m.tsさま
これは私がSFTPでサーバーの中を見ました!
それで中身がすっからかんだと目で確認した感じなのですが……そもそもそれが間違っていますか……!?
Macユーザーであることと、実際の本番が確認できることとは無関係かと。
>それで中身がすっからかんだと目で確認した感じなのですが……そもそもそれが間違っていますか……!?
WordPressのファイルはないかもしれませんが、データベースはそもそもWordPressとセットではないので場所も違います。データベースもそれはそれで別のアプリケーションです。
m.tsさま
sshでアクセスできました!!!!!!!!!!
まぁいずれにしてもアクセス権全くない赤の他人にはどうにもできないことなのは間違いないと思いますが。。
m.ts
元々中にたくさん入っていたのでここからごっそりなくなったのかと思っていました……
実際中身はからっぽになっているので、mysqlに接続できれば御の字です!!
mysqlに入れました!!!!!!
既に言及されてる「サイバー攻撃されたままの状態で使い続けるのか」というほうが先かと。攻撃者にとってはいつでもやれる状態なわけですから。
OSから入れなおした方が良さそうですね。
可能ならサーバー運営会社に連絡してIPも割り当て変更してもらう。
うん、結構な作業だ。
提言してみます!
そして私は絶対に作業しません!!!(笑)
今多分それを言ってもきかないと思うので…ご助言ありがとうございます!
> 本社「wp-configを書き換えれば設置できますよ」
Document Root が /var/www/ とは違うのでは?
まぁいずれにしても、インフラ屋さんに相談した方が良い案件かと。
コメントありがとうございます!!
そうですよねえ…残すところそれですよね…
Document Rootの確認って、出来るものなんでしょうか…調べてみます…!
apacheの設定ファイル
httpd.confに書かれています。
phpinfo
実行でもわかります。
回答1件
0
回答
マルウェアやバックドアなどが仕込まれている可能性も高いので、よくわからない状態でそのサーバをそのまま使うのは非常に危険です。
現状で第三者に対して攻撃を行っている可能性もあります。
そのため、
- データを諦められないのであれば専門家にデータ復旧を依頼する
もしくは
- データを諦めてもいいならOSの再インストール(VPS等であれば別インスタンスの立ち上げ)からWordPressの再インストールと再設定をすること
をお勧めします。
捕捉
元の状態に復旧したいのか新規にインストールしたいのかがよくわかりませんが、
- 復旧したい場合
一刻も早く状態を保存して専門家に依頼しましょう。
時間が経てばたつほどデータ復旧は困難になり、マルウェア等により第三者に被害を与える可能性も増えます。
ただ、安くない費用がかかったり、使用しているサーバによっては復旧が不可能だったりします。
単純にファイルを復旧するだけであればlinux 削除したファイル 復元あたりで調べて、環境に合った方法を取れば復旧できる可能性もありますが、作業を誤った場合は専門家に依頼しても復旧できる可能性が減っていきます。
- 新規にインストールしたい場合
VPS WordPress インストールとかLinux WordPress インストールあたりで調べてみると参考になる情報が見つかると思うので、VPSを契約してみて試すとか仮想環境にLinuxをインストールして試すなどしてみてください。
投稿2021/07/13 08:34
編集2021/07/13 08:35
総合スコア18716
ご回答ありがとうございます!!
データを諦めて、新築する、が正解です!
そしてwww直下がごっそりない状態で、それ以外のものは生きている、という感じです。
FTPを使ってサーバーの中身が見れているくらいの話で、これは専門家を呼んだほうがよさそうでしょうか……
そうですね。
他に何をされているか分からないですし、攻撃の経路が分からないと復旧したところで再度攻撃されてしまうので、私ならOS再インストールをしないと怖くて使えません。
データを諦めても良く、そのサーバがWordPressのみしか使っていなかったのであれば、
OS再インストールからサーバ設定、WordPress再インストールをし直すのが最も安上がりで確実だと思いますよ。
僕はデザイナーとして入ったところでして、このサーバーが他に何に利用されているのかはわからない状態です……。
実際
/var/www/
ここに何かを入れると、サイトが表示されるぞ、ということは知っているぞ、みたいなレベルのことでして…
しかしここにwordpressのファイルを入れてもサーバーが停止していますと言われてしまって……
諦めたほうがいいか……
正直な感想としては、完全に手に負えない状況なので諦めるしか無いと思いますよ。
WordPress再インストールだけなら調べながらやれば誰でも出来る様な作業ではありますが、
既に書いたように攻撃を受けたサーバをよくわからない状態で使い続けるのは危険が大きすぎます。
そうですよね……
ありがとうございます…!ちょっと一度話してみます。
それで進展あったらまたコメントします、ありがとうございます!
あなたの回答
tips
プレビュー
