それは2012年の夏頃でした。私(弊社代表者の大塚)が前職のサーバーホスティング会社でCTOとして働いていた時です。
とある風俗系サイトのサーバーを利用されているお客様から、最近サーバーの具合がおかしいと連絡がありました。1回目の連絡はメールで、特に具体的な問題点は指摘されていませんでした。とにかくサーバーが重たくなっているので見て下さいという内容でした。このお客さんは自前のPHPプログラムとMySQLデータベースで動かしていて、その仕組みに関してはどの様な動きをするのかは知りませんでした。そもそも、お客さんの動かしているプログラムやコンテンツに関しては、契約責任範囲外でした。
なので、良くありがちなサーバー自体になにか設定の不備が無いか、とか、サーバーのリソースは足りているかとか、ハードウエアー的な問題は無いかといったことから調べて行きました。そして、ハードウエアーとOS、サーバーアプリケーションに関しては設定の不備や故障は見受けられませんでした。確かに、サーバーの負荷が重たくなっていた事実はありましたが、どのプロセスが重くしているというところまでは特定出来ませんでした。PHPのバージョンが古く、いくつかの脆弱性情報がでていました。ですが、当時のPleskではPHPやApacheサーバーは全てPleskのパッケージとして提供されているので、単体でのアップデートが出来ませんでした。アップグレードするとしたらPlesk全体をアップグレードする方法でした。しかし、これをやるとなるとサイトの停止時間が数時間発生するので、お客さんからもそれは出来ないと返信がありました。そして、お客さんには、この時点では原因を特定する事が出来ないのでしばらく様子を見てくださいと連絡をしました。
その数日後、今度は監視サーバーからの警告メールを受信しました。問題のサーバーから大量のメールが送信されている警告でした。直ぐにサーバーにログインして様子をみると、確かに大量のメールが保留(メールキュー)されていて、すごい数のメールが宛先不明で戻ってきているのもありました。サーバーの負荷は主にメール送信とエラーメールの処理でかなりのリソースを使っていて重たくなっていたようです。そして、送られていたメールの中身を見ると英語でのSPAMメールでした。その時点でサーバーが不正メールを大量に送信している事が分かりました。直ぐにメールキューを削除しました。そして、メールを送信しているプログラムの特定作業に入りました。しかし、どのプロセスがメールを送信しているのかがなかなか特定出来ません。動いているプロセスは、基本的にはWebサーバーとデータベース、PHP(CGI版)だけです。他はサーバーの基本的なシステムプロセスだけでした。
お客さんへ連絡して、その事を伝えました。その後、今度はお客さんの方から連絡があり、Google Analyticsからマルウエアーの検知がされ、Google検索からの流入が停止しているとい事でした。こうなると大事です。検索結果からサイトへの流入が停止するので直接売上に関係しますので。お客さんも、そのようなサイトを商売として人なので”素人”ではなかったので、正直かなり緊張しました。そして、早くどうにかしないとという焦りの気持ちばかりがこみ上げているのですが、時間ばかりが経過してなかなな問題の解決は出来ませんでした。
このサーバーはVPSというタイプの仮想専用サーバーで、コントロールパネルにPleskを使っていました。Pleskのバージョンがかなり古く、いくつかのアップデートが既に出ていました。それがとても引っかかっていたので、アップデートの提案をしましたが当然却下されました。まずは今起きている問題が収まってからという回答でした。確かにお客さん側としたら当然だと思います。そして、にっちもさっちもいかない状態で翌日になると、今度はスペインの銀行からフィッシン詐欺の報告がありました。
© All rights reserved CyberGuardians,Inc.
Proudly made in Yokohama