いきさつ

ハッキングされました．どうしてこんな目に．

このページが見えているということは，復旧が完了しているということです．ご安心ください．

この Web サイトは，ConoHa VPS 上で動作しています． 2025 年 12 月 7 日 18 時 20 分ごろ，ConoHa から VPS の負荷が高いので落とした旨のメールが来ました．

ですが，そんなに重い動作を組み込んだ覚えはありません．12 月 4 日に全世界同期リバーシ（記事）を作りましたが，これの動作が重いはずがありません．

うっかりバグを仕込んでしまったのかなあと思いつつ，ConoHa のコントロールパネルを眺めたところ，12 月 5 日 12 時 30 分ごろから CPU のリソースが急増し，ここからずっとリソースを最大限食い尽くしていることがわかりました．

おかしな話です．コードを見直してもそんな変な挙動をする箇所は見当たらなかったので，とりあえず起動してプロセスを見ることにしました．

top コマンドで，Windows におけるタスクマネージャと同様に，プロセスの統計情報を得られます．すると，謎のプロセス fghgf が CPU を使い潰していることがわかりました．

どうやらこれは /tmp/ にあるらしく，/tmp/config.json という謎のファイルも生成されていました．Gemini 曰く，config.json の中身は XMRig という仮想通貨を掘るためのツールのコンフィグらしいです．

状況を見るに，ハッキングされて，仮想通貨を掘るために使用されていたようです．他に悪さをされていたかはわかりません．

これらのファイルを消したり，プロセスを止めたりしても，またファイルが生成されて実行されてしまい，どうしようもありません．

仮想通貨を掘るのに使われているのはわかりましたが，他に何をされているかわかったものじゃありません．ということで，クリーンインストールし直しました．

原因

わかりません．あんまりちゃんとログを見ずに消しとばしてしまいましたので．

パスワードログインを切り忘れていて，ブルートフォースで破られたのか，Minecraft のサーバーに脆弱性があったのか．

SSH は鍵認証のみにします．

/etc/sshd_config の PasswordAuthentication を no にすれば良いわけではなく，/etc/sshd_config.d/50-cloud-init.conf 内で同様の設定が必要でした．恐らくこれをしていなかったのだろうと思われます．

Minecraft サーバーは，どうしようかなあ．こちらから破られたわけではないと思いつつ．

どちらかと言うと，壊されないように頑張るよりも，壊されても簡単に復旧させられるようにするのが良いですね．例えばこのサーバーのデータは基本的に GitHub 上に全てあるので，簡単に戻せました．あとは重要なデータ置かないとかこまめにアップデートするなどでしょうか．

セキュリティには気をつけよう！

攻撃は本当にたくさん来ていて，サーバー運用開始してから半年間問題なかったので大丈夫なものだと思っていた，怖いですね．

今回のハッキングにより，私に対する金銭的な被害は発生していません．時間と精神を取られて腹立たしいですが，同時に貴重な経験で面白いなあと思っている自分もいます．