PC >障害例 >インターネット 関連 >メール 関連 >自社 ドメイン >EasyTone >
( 2022.2.3. 更新 )
● 現場 | |
---|---|
1 | SK 製缶 様 : SK町 |
● 症状 | |
1 | 受信 = 正常 |
送信 = エラー。 ただし 時間を置くと、たまに送れる | |
2 | ↓ Webメールでも ほとんど送信不可で、右下に橙窓で 以下のエラーが表示する |
SMTP エラー : [ 554 ] | |
Your message could not be sent. | |
The limit on the number of allowed outgoing messages was exceeded. | |
Try again later. | |
( # 5.7.0 ) | |
3 | ↓ Windows Live メール 2012 だと、上記のメッセージ加えて 以下 |
エラー ID : 0x800CCC6F | |
↑ 同じPCの 同じメーラに設定されている、プロバイダ メールは 発着信ともに正常 | |
● 原因 | |
1 | 自社ドメインのサイト上に PHPファイル ( = 「 お問い合わせ 」 機能の補助 ) があり、それが乗っ取られた |
↑ 無差別サイバー攻撃 ( = 迷惑メールの大量受信 ) が多かったので、ユーザが閲覧する 「 お問い合わせ 」 のページは止めてあったが、PHPファイルは そのまま放置されていた | |
2 | ↓ 以下を 延々と繰り返していた |
[ 1 ]. 短時間で大量の送信 ( = 1 時間で 2 万件以上 ) をするので メールサーバの規制にかかり、送信機能が止められる | |
[ 2 ]. 一定時間が経つと 停止は解除されるが、乗っ取りの大量ばらまきも再開するので また短時間で止められる | |
● 処置 | |
1 | 「 〜 . php 」 を 「 〜 . php_old 」 に リネームしたら、迷惑メール発信が止まった |
● 備考 | |
1 | ログを さかのぼったら、以前から 1 時間で 300 件前後の送信が コンスタントに行われていた |
↑ 気がつかなかった だけで、実は とっくに PHPファイル が 乗っ取られていた ( = 下手したら PHP スタート時から ) | |
2 | 「 PHP は 脆弱 」 とは 聞いていたが、そんなに 簡単に ハッキングできる ものなんだ … |
そういえば 別の現場で、社内の Web サーバ が 延々と サイバー攻撃を受けていたが、攻撃の 99.9 % 以上は、名前 総当たり で PHP ファイル を 探す 動作だった ( = その Web サーバ に、PHP ファイルは なかったが ) | |
↑ その現場は ポート番号変更で、ほとんどの 攻撃到達が なくなった |
● 過程 | |
---|---|
1 | 2.2. 18:00 = 全メール ( = 16件 + 2件 ) のパスワードを 「 個別 + 複雑 」 に変更 |
↑ + 2件は 使っていないメアドだったので、その後すぐに 削除 | |
↑ 送信不可に 変化なし | |
2 | 2.3. 5:00 〜 10:30 の間に何度か確認するが、送信不可に変化なし |
3 | 2.3. 15:00 ごろに確認したら、送信可だったので 「 解消したのか … ? 」 |
4 | 2.3. 17:30 ごろに確認したら、送信不可で 「 さっきのは たまたま送れたタイミングか … ? 」 |
5 | plesk ( = EasyTone のコンパネ ) を開き、ログインパスを複雑に変更 |
続けて [ 送信メールの制御 ] を確認 | |
6 | ↓ タブ [ 全般 ] で 以下 |
メールアドレス 上限を超えた送信試行なし | |
ドメイン 上限を超えた送信試行なし | |
契約 1件が上限を超過 | |
7 | ↓ タブ [ 契約 ] で 以下 |
右欄 [ 送信済みメッセージ ] が、24時間 全部 まっ赤 | |
↑ 「 500 合計 / ( 2 万件前後 ) 拒否 」 | |
↑ 2.1. 15:00 から症状が始まっている ( = ユーザの申告と合う ) | |
↑ 2.2. 18:00 以降も変化がないので、各メールのパスを変更したことに 直接の効果はなかった | |
↑ 「 メールアドレス 上限を超えた送信試行なし 」 で つじつまは合うが | |
↑ パス変更の直後から 1 時間 2 万件 → 18,000 件 に減ったのは 偶然か | |
8 | 2.3. 14:00 で ( 何度目かの ) 規制開始が始まるまでは、左欄 「 拒否されたメッセージ 」 が 2万件オーバー |
しかし その後 15:07 で 「 通常に復帰した日時 」 後は、8,500 件未満で ペースが落ちた | |
↑ 何が原因で … ? | |
9 | 16:40 に規制開始 + 17:38 に解除後は、2 〜 712 で急激にペースが落ちた |
↑ ログインパスを変更した影響 … ? | |
↑ ただし 「 拒否されたメッセージ 」 が 0 にならないのは、なぜ … ? | |
↑ そして ( 停止時間は短くなったが )、まだまだ 定期的に規制がかかる | |
10 | そもそも 「 メールアドレス 上限を超えた送信試行なし 」 なのに、「 契約 1件が上限を超過 」 なのは なぜ…? |
↑ たとえば 「 ( ランダム作成 ) @ ( ドメイン ) 」 に、「 ( ランダム作成の パスワード ) 」 を マシンで自動打ちしても、それが 「 送信試行 」 にカウントされるとか … ? | |
↑ いくらなんでも それはないかな … | |
↑ 「 ( 存在するメアド ) 」 + 「 ( ランダム作成のパスワード ) 」 なら ありうるが、その場合は 「 メールアドレス 上限を超えた送信試行なし 」 との整合性が取れなくなるか … ? | |
11 | 右欄 [ 送信済みメッセージ ] で、「 拒否 」 の件数は 2 万弱 → 1 千未満に落ちているが、「 合格 」 が 500 ( = おそらくマックス ) か、わずかに 500 弱なのは 何なのか … |
↑ 「 合格 」 とは どういう意味 … ?。 「 ランダム打ちしたメアドが当たって、相手サーバに届いた 」 では … ? | |
12 | もしかすると サイトの問い合わせ機能が 今も生きていて、それが悪用されてるとか … ? |
22:15 に mail.php を mail.php_old に名前変更 | |
↑ 合計試行回数 = 154,149 ← ページ更新しても回数が変化しないのは、迷惑が止まったから … ?、 まだ集計されていないから … ? | |
↑ 列 [ 通常に復帰した日時 ] が 「 ! まだ送信しない 」 だから、送信制限がかかっていただけか | |
13 | 23:07 に解除されたら、合計試行回数 = 154,352 で、22:04 〜 23:07 の拒否されたメッセージ = 271 |
↑ mail.php のリネームが 22:15 だから、この後がどうなるかか | |
14 | 23:00 〜 24:00 が 0 になった … ! |
もう少し様子を見ないとだが、mail.php が外部から 乗っ取りされていた可能性は 高まった |