丁度、2011年末ごろから、Wordpressへの改ざんが増え始め、大変苦労した(正確には、苦労しているの進行形です)経験があります。
やっと、あるパターンの改ざんを処理できたと思いきや、新たな改ざんがしばらくすると流行りだします。これを仕掛けている人間は「愉快犯」、それとも何かメリットでもあるのでしょうか。
最初は、ヘテムルでレンタルしていたサーバーが次から次への改ざんされました。年末年始も容赦なく改ざんされ、サーバーを他に移管しようかと真剣に考えました。ヘテムル側は、cgi、php、ディレクトリーのパーミションを変更してくれましたが、改ざんされたファイルが多すぎて、途方もない作業でした。何とか、改ざんが収まり一瞬安心していたところ、今度は、ロリポップのサーバー、CPIのサーバーと、Wordpressをインストールしたホームページが改ざんされ始めました。
以前は、index.back.phpのようなファイルや意味不明のファイルが育成されていましたが、最近ではジャバスクリプトファイル(拡張子がjsのファイル)にソースが書き込まれ、index.phpが改ざんされるケースも増えてきました。また、Boxtheme.zip(解凍すると、plugin.phpとsatan.phpが現れてupgradeディレクトリ内に育成され、改ざんを開始するようなパターンも発見しました。
Boxtheme.zipをGoogleで検索すると、Index of /wp-content/uploadsのようなタイトルのサイトが多く表示されます。どうやらこれらのサイトはすべて改ざんされている、あるいは最近まで改ざんされていたサイトのようです。日本のサイトはあまり見出せないので、とりあえず、育成されたBoxthemeディレクトリーを削除しました。こんなことをしても何の解決にもならなかもしれませんが、とりあえず、様子見です。
それでは、次回報告まで
