wp-info.phpによるホームページ改ざん（2）

この改ざんは、.htaccessに以下の書き込みを行ないます。

# BEGIN SYSTEM API
RewriteEngine on
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule ^ny/(.*)$ ●●●●/wp-info.php?$1 [L]

# END SYSTEM API

削除しても数時間後にはまた書き込まれます。
●●●●のフォルダーは都度変更され、wp-info.phpが育成されます。

この種の改ざんは、ウィルスチェックをパスしてしまうので、Googleのウェブマスターツール（Search console)でチェックする方法をおすすめします。

ウェブマスターツールの コンテンツ キーワードで意図していないキーワードが無いかチェックします。ちなみに、今回の改ざんでは、cialis、viagraがキーワードの上位を独占していました。Googleのクローラーもこれらのキーワードを認識し、改ざんにより育成された大量のページがインデックスされていました。

wp-info.phpによる改ざんで参考にするサイトは殆ど出ていませんが、下記のサイト(英語)がとりあえず参考になりました。

http://wordpress.stackexchange.com/questions/167383/how-to-fight-this-wp-info-php-exploit

wp-info.phpを使った新しい改ざん

今年の3月末、Wordpressのサイトで新たな改ざんを発見しました。気付くのに2か月も掛かってしまいました。

どんなウィルスチェックも安全であると結果が出ていましたし、Googleのウェブマスタツールもパスしていました。

なぜ気づいたのかと言いますと、4月21日に発動したモバイルゲドンの影響をウェブマスタツールでチェックしていた際に、あるサイトのインデックスされたページ数が3月末に500から2500に増大していたからです。

 増えたページを開いてみると、長文の英語ページで、合計2000ページもありました。内容はいわゆる日本のインチキSEO屋が行う手法、様々なブログで書く稚拙な文章の中にキーワードを盛り込み、バックリンクとして飛ばす手法と同じようなページに見えました。

これらのページはWordpressの投稿ページや固定ページにはありませんでした、データベースにもなく、FTPサーバーにもありませんでした。

おそらく、RSSフィードのようなものを使っているのだと思いますが、クローらがそれらの英文を通常のページとして読み込んでいることが問題です。「悪意のあるサイト」として認証されないので、多くのサイトがこのような改ざんを受けているかもしれないと思っています。

 wp-info.phpがこれらの改ざんを引き起こすファイルであることまでは分かったのですが、このファイルの情報を検索しても、一部英語のサイトで出てきますが、正体を明らかにした情報はほとんどでてきません。

来週は画像ファイルも含め、新しいファイルにすべて置き換え、パスワード関連もすべて変更します。