何と、このサーバーにスペインの銀行のログイン画面が設置されていてフィッシング詐欺として使われているという内容でした。幸い、そのメールには問題のページのリンクが記載されていたので、どのディレクトリーに不正なプログラムがあるのかが分かりました。その事をお客さんへ伝えて、ディレクトリー内の全てのファイルを削除しました。不正ファイルは階層の深いところに置かれて奇妙なファイル名になっていました。それらを消した直後はしばらく問題は収まるのですが、数時間するとまた問題が起きました。今度は別のフォルダーに同じ様なファイルが置かれて、同じ様にSPAMメールが大量に送信されたのです。お客さんには既にPlesk管理画面やFTPパスワードは変更してもらったので、それらでファイルへアクセスは出来ないはずでした。また、お客さんはSSHは使用しなかったので、外部からSSHへのアクセスはFirewallでブロックしていました。結局これが３日続いたのですが、原因がわからず、お客さん側のPHPプログラムのセキュリティーバグまたはPHP関連の何かというところまでは原因を絞り込みました。

そうこうしているうちに、しびれを切らせたお客さんは結局他社のサーバーを準備して引っ越しをしてしまいました。問題の発覚から4日後でした。私がお客さんの立場だったら２日位で引っ越しをしていたかもしれません。なので、良く辛抱強く３日も待ってくれたなあと今更ながら思います。

結局はっきりとした原因がわかったのはその後でした。引っ越しが終わった後でした。原因はCGI版のPHPのセキュリティーホールでした。
CGI版PHPにリモートからスクリプト実行を許す脆弱性 (CVE-2012-1823)でした。

これは非常に恐ろしいバグでした。外部からURLパラメーターを指定してPHPプログラムのコースコードを見ることが出来ます。また、特殊なパラメーターを渡すことで外部フィアルを読み込んで実行し、サーバーを自由に操る事が出来てしまいます。後からわかった事ですが、ファイルを削除しても直ぐに“蘇って”しまうのは、ハッカーがその様に仕込んでいたからでした。そして、全ての攻撃は自動化されていました。

フィッシングで取得したログイン情報は別のハッキングされたサーバーに送信されて、そこからまた別のハッキングされたであろうC&Cサーバーへ送信されます。ここから先は推測になりますが、C&Cサーバーではそのログイン情報を元にオンラインバンクにログインする仕組みになっていたのではと考えられます。ハッカーがサーバーに仕込んだファイルは暗号化されていて一見謎の文字列のように見えますが、解読するとPHPコードが徐々に現れてきます。コードは分かりづらく書かれていて、複数回暗号化されています。ですが、それらを復号するとハッカーの手口が徐々に見えて来ました。これらがわかったのが既に解約の後だったのです。しかも、もしはじめにわかったとしてもPHP-CGIのアップデートもしくはApacheモジュールへ変更するしか手段はなかったのです。今となってはかっきりとした理由が思い出しませんが、何らかの理由でPHP-CGIでないと駄目だったのでした。なので、この場合には当時あった状況では対策は難しかったです。

この様な経験から学んだ事があります。