2019年7月初旬に起こったwordpressホームページの改ざん(ホームページ改ざん:検索で表示されるタイトルと説明文が書き替えられた)は、XML-RPC Pingbackの脆弱性を利用され、DDOS攻撃によりバックドアを作られたのが原因のようです。
php5.3で作成された古いwordpressサイトをいきなり7.1に変更した場合、まったく動作しないことがあります。それが理由でバージョンアップせず放置しておくと今回のような改ざん被害にあってしまいます。
wordpressの心臓部分であるwp-config.phpにXML-RPC Pingbackを有効にするフィルターが追加されていました。
バックドアの削除、不正ファイルの削除、不正ソースの削除、wp-config.phpの不正フィルター部分を削除した後、Disable XML-RPC Pingbackプラグインを有効化して改ざんは収まり、1か月経過しました。
「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索すると、いまだに多く委のページが改ざんされたままになっています。
Disable XML-RPC Pingbackの重要性を改めて認識しました。
2019年8月5日月曜日
2019年7月16日火曜日
ホームページ改ざん:検索で表示されるタイトルと説明文が書き替えられた
2019年7月初め、使っているヘテムルサーバーでホームーページ改ざんがありました。
改ざん状態
改ざん状態
- 多数のバックドアが取り付けられている
- 検索で表示されるタイトルと説明文が書き替えられた。
例、住宅関連のサイトなのに「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」や「ジュエリー・・・・・」のような関連性のないタイトルに書き替えられていました。 - スマホでアクセスするときのみリダイレクトで他のサイトへ移動する。
- Wordpress関連だけでなく、あらゆる階層に不正ファイルを取り付けている
例 css、images、js等々のフォルダー - ルートにあるindex.phpおよびwp-config.php内に不正プラグラムを埋め込まれている
- 最後に最も驚いたことですが、Googleの検索結果の表示を自由に変更できていることです。Yahooショッピングでもないのに、パンクズで「Yahooショッピング」カテゴリーを表示させています。
ヘテムル内の10サイト全部改ざんされたので、10日ほどで駆除し、現在監査中です。
上記6について、調べてみると、世界中でこの改ざんが多発しているようです。
2019年7月16日現在、「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索して表示されるサイトのほとんどが改ざんされています。この検索キーワード以外にも複数あるようです。
Yahooショッピングの表示まで偽造されています。下記画像をクリックしてください。
2019年7月16日現在、「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索して表示されるサイトのほとんどが改ざんされています。この検索キーワード以外にも複数あるようです。
Yahooショッピングの表示まで偽造されています。下記画像をクリックしてください。
2017年9月14日木曜日
welcartにオブジェクトインジェクション脆弱性2
複数サイト改ざんされ、クリーンアップ後、1日たちました。
今のところ収まったようです。
のこり、数サイト改ざんされたままです。同じ処理を行います。
今回気づいたこと
imagesやuploadsのような画像保存フォルダー内も入念にチェックすることです。特に、.gifや
.pngのような画像ファイルは、認識アイコンがテキストファイルを表すアイコンになっていないかチェックしましょう。なっていたらバックドアとおもわれます。
今のところ収まったようです。
のこり、数サイト改ざんされたままです。同じ処理を行います。
今回気づいたこと
imagesやuploadsのような画像保存フォルダー内も入念にチェックすることです。特に、.gifや
.pngのような画像ファイルは、認識アイコンがテキストファイルを表すアイコンになっていないかチェックしましょう。なっていたらバックドアとおもわれます。
2017年9月13日水曜日
welcartにオブジェクトインジェクション脆弱性 1.9.4に至急バージョンアップ必須
1週間前から続けて複数のサーバーが改ざん。
これは笑えない。同じハッカーによる改ざんだったからです。バックドアの内容が全く同じ。改ざんしたサーバーを使いスパムメールを大量にばらまく。カリビアンコムにリダイレクトさせる。
この手口は過去と同様です。早速、クリーンアップしてみました。全ファイルではなく、画像ファイルやCGIで使用しているフォルダーはさほどチェックしませんでした。
FTPアクセス制限設置、効果なし。
パスワード変更、効果なし。
プラグインすべて最新版に入れ替え、効果なし。
テーマないのファイルすべてチェック、効果なし。
発見した、改ざん個所
index.php
wp-config.php
header.php
バックドア、5から6か所
バック度は、画像ファイルフォルダーやCGIフォルダー内、などチェックしないような箇所に設置されています。
また、,icoファイルがバックドアだったこともあります。過去、gifファイルがバックドアだったことがあります。
これは厄介、8サイト改ざんされ、3日たってもまだ1サイトも クリアされていない。
本日、ヘテムルからの連絡で、至急welcartを1.9.4にバージョンアップするよう指示がりました。1.9.4いつのバージョン?9/12公開されたばかりのバージョン。
そういえば、改ざんされたサーバーはwelcartがインストールされているサーバーばかりでした。
至急入手しました。とりあえず、下記のことを行い、様子見です。
1.
最新版のwordpressとプラグインをオフィシャルサイトから入手しました。
2.
バックアップのテーマを用意
3.
クリーンなwp-config.phpを用意
3.
FTPでサーバーのファイルを削除
4.
最新版のwordpressとプラグインをアップ
5.
wp-onfig.phpをアップ
6.
wp-content内にあるuploadsフォルダの画像をすべてチェック(アイコンを見ます)
7.
テーマをアップ
8.
ログインして welcartを無効にする
9
その後で、有効に戻す。
10.
商品購入で正常に動作することを確認。
これで様子見です。
もちろん、パスワード関係はすべて変更しています。
これは笑えない。同じハッカーによる改ざんだったからです。バックドアの内容が全く同じ。改ざんしたサーバーを使いスパムメールを大量にばらまく。カリビアンコムにリダイレクトさせる。
この手口は過去と同様です。早速、クリーンアップしてみました。全ファイルではなく、画像ファイルやCGIで使用しているフォルダーはさほどチェックしませんでした。
FTPアクセス制限設置、効果なし。
パスワード変更、効果なし。
プラグインすべて最新版に入れ替え、効果なし。
テーマないのファイルすべてチェック、効果なし。
発見した、改ざん個所
index.php
wp-config.php
header.php
バックドア、5から6か所
バック度は、画像ファイルフォルダーやCGIフォルダー内、などチェックしないような箇所に設置されています。
また、,icoファイルがバックドアだったこともあります。過去、gifファイルがバックドアだったことがあります。
これは厄介、8サイト改ざんされ、3日たってもまだ1サイトも クリアされていない。
本日、ヘテムルからの連絡で、至急welcartを1.9.4にバージョンアップするよう指示がりました。1.9.4いつのバージョン?9/12公開されたばかりのバージョン。
そういえば、改ざんされたサーバーはwelcartがインストールされているサーバーばかりでした。
至急入手しました。とりあえず、下記のことを行い、様子見です。
1.
最新版のwordpressとプラグインをオフィシャルサイトから入手しました。
2.
バックアップのテーマを用意
3.
クリーンなwp-config.phpを用意
3.
FTPでサーバーのファイルを削除
4.
最新版のwordpressとプラグインをアップ
5.
wp-onfig.phpをアップ
6.
wp-content内にあるuploadsフォルダの画像をすべてチェック(アイコンを見ます)
7.
テーマをアップ
8.
ログインして welcartを無効にする
9
その後で、有効に戻す。
10.
商品購入で正常に動作することを確認。
これで様子見です。
もちろん、パスワード関係はすべて変更しています。
2017年9月2日土曜日
最近のホームページ改ざんは減っている?増えている?
久しぶりの投稿です。
ホームページ改ざんが減って書くことがなくなったのではなく、むしろ巧妙な改ざんが増えて書いている余裕がなかったというのが本当のところです。
Google検索で「悪意のサイト」、「このサイトは第三者によってハッキングされている可能性があります」等の警告が以前に比べ減っているような気がします。
気がするだけで、本当は増えているのかもしれません。ただ、最近の改ざんは、このような警告を出させないよう手口が巧妙になってきています。改ざんに成功しても、Google検索やウィルススキャンソフトにより瞬時にブロックされては「苦労」して改ざんした意味がなくなります。
こんなバカげた「苦労」はやめてももらいたいです。最近では、改ざんされたホームページを修正するサービスが多くなってきました。どれも100%元に戻すことを保証するサービスではありません。
Wordpressや他のCMSでホームページを作成している場合は、テーマとデータベースのバックアップは必須です。これさえ行っていれば改ざんされても修復は可能です。
改ざんしたホームページのメール送信機能を利用して大量のスパム(ウィルス)メールをばら撒きます。 しかも、ウィルススキャンで検知できないことが多々あります。
バックドアを設定されると、パスワード変更、バージョンアップ、FTPアクセス制限は効果がありません。これらのことは不正ファイルをすべて駆除してから行うことです。
バックドアは複数設定されています。imagesフォルダー、uploadsフォルダー等、意外な場所に設定しているケースが多く、駆除するためには、全ファイルを新しいファイルで入れ替えることです。
先月末の改ざんでアップされていたファイルの中身です。この種のファイルが至る所に置かれています。
ホームページ改ざんが減って書くことがなくなったのではなく、むしろ巧妙な改ざんが増えて書いている余裕がなかったというのが本当のところです。
Google検索で「悪意のサイト」、「このサイトは第三者によってハッキングされている可能性があります」等の警告が以前に比べ減っているような気がします。
気がするだけで、本当は増えているのかもしれません。ただ、最近の改ざんは、このような警告を出させないよう手口が巧妙になってきています。改ざんに成功しても、Google検索やウィルススキャンソフトにより瞬時にブロックされては「苦労」して改ざんした意味がなくなります。
こんなバカげた「苦労」はやめてももらいたいです。最近では、改ざんされたホームページを修正するサービスが多くなってきました。どれも100%元に戻すことを保証するサービスではありません。
Wordpressや他のCMSでホームページを作成している場合は、テーマとデータベースのバックアップは必須です。これさえ行っていれば改ざんされても修復は可能です。
最近の巧妙な改ざん手口
改ざんしたホームページのメール送信機能を利用して大量のスパム(ウィルス)メールをばら撒きます。 しかも、ウィルススキャンで検知できないことが多々あります。
バックドアを設定されると、パスワード変更、バージョンアップ、FTPアクセス制限は効果がありません。これらのことは不正ファイルをすべて駆除してから行うことです。
バックドアは複数設定されています。imagesフォルダー、uploadsフォルダー等、意外な場所に設定しているケースが多く、駆除するためには、全ファイルを新しいファイルで入れ替えることです。
先月末の改ざんでアップされていたファイルの中身です。この種のファイルが至る所に置かれています。
2017年1月18日水曜日
クリックするとpopアップでfindbetterresults.comへ
厄介な改ざんがありました。
ワードプレスで作成したページ、どのリンクボタンを押しても下記のサイトがポップアップで表示されます。
このサイトはマルウェアをばら撒いているようです。
とりあえず、パスワードを変更しました。
バックドアはありませんでした。
次に、FTPでワードプレスのデータをすべて削除して、新しいファイルをアップしました。
プラグインをすべて最新版にし、テーマ内にあるjsファイルを無効にしました。
解決しません。
検索すると、 findbetterresults.comがポップアップで開くトラブルが多発していることに気づきました。これらはPCにマルウェアがダウンロードされて起こる現象で、今回の改ざんとは違いました。
唯一アメリカの投稿で、ワードプレスで作成されたページがどのリンクをクリックしてもfindbetterresults.comのポップアップが表示されてしまい、解決していない記事を読みました。
これは、厄介????
テーマを変えてみました。 ポップアップは起こらない。
ポップアップのソースはテーマにあることがはっきりしました。
もっとも怪しいheader.phpですが、これは最初に徹底的にチェックしました。
残りはfooter.php、一行怪しいスクリプトがありました。そのコードが読み込んでいたのがfindbetterresults.comのポップアップソースでした。
この一行を削除してとりあえず、解決です。
パスワードは16桁英数字混合で作成しました。
約5時間の格闘でした。
js
ワードプレスで作成したページ、どのリンクボタンを押しても下記のサイトがポップアップで表示されます。
findbetterresults.com
このサイトはマルウェアをばら撒いているようです。
とりあえず、パスワードを変更しました。
バックドアはありませんでした。
次に、FTPでワードプレスのデータをすべて削除して、新しいファイルをアップしました。
プラグインをすべて最新版にし、テーマ内にあるjsファイルを無効にしました。
解決しません。
検索すると、 findbetterresults.comがポップアップで開くトラブルが多発していることに気づきました。これらはPCにマルウェアがダウンロードされて起こる現象で、今回の改ざんとは違いました。
唯一アメリカの投稿で、ワードプレスで作成されたページがどのリンクをクリックしてもfindbetterresults.comのポップアップが表示されてしまい、解決していない記事を読みました。
これは、厄介????
テーマを変えてみました。 ポップアップは起こらない。
ポップアップのソースはテーマにあることがはっきりしました。
もっとも怪しいheader.phpですが、これは最初に徹底的にチェックしました。
残りはfooter.php、一行怪しいスクリプトがありました。そのコードが読み込んでいたのがfindbetterresults.comのポップアップソースでした。
この一行を削除してとりあえず、解決です。
パスワードは16桁英数字混合で作成しました。
約5時間の格闘でした。
js
2016年12月30日金曜日
Wordpress 改ざんされないために絶対やっておくこと
先週、公開したばかりのwordpressサイト改ざんされました。
テーマ内のfunctions.phpが改ざんされ、ページが白紙表示になりました。
念のため、全ファイルをウイルスチェックすると、バックドアファイルが3か所に設定されていました。
なぜ、こうも簡単に改ざんされたのか。インストールした本人に確認すると推測されやすい、IDとパスワードを一時的に設定したそうで、単純な油断が原因でした。
改ざんされないために絶対やっておくこと
とりあえず、これだけ行っておけば改ざんされにくいと思います。
テーマ内のfunctions.phpが改ざんされ、ページが白紙表示になりました。
念のため、全ファイルをウイルスチェックすると、バックドアファイルが3か所に設定されていました。
なぜ、こうも簡単に改ざんされたのか。インストールした本人に確認すると推測されやすい、IDとパスワードを一時的に設定したそうで、単純な油断が原因でした。
改ざんされないために絶対やっておくこと
- IDをadminにしないこと
- パスワードは、不便であっても複雑にする。
- プラグインをやたらに使用しない。また、使わないプラグインはさくじょする。Jetpackだけでも十分!
- バージョンアップが行われないテーマを使用しない。公式のテーマを利用する。
- phpファイル wp-config.phpのパーミッションは400で設定する。
とりあえず、これだけ行っておけば改ざんされにくいと思います。
登録:
投稿 (Atom)