今年の6月、不動産系のWordpressサイトが通称Filesmanによる改ざんを受けました。
先日のwp-info.php同様、サイトのウィルスチェックをパスしてしまう改ざんです。ブラウザが改ざんサイトを「アクセス先のサイトで不正なソフトウェアを検出しました」や「悪意のサイト・・・」のように表示してブロックを掛けるようになりましたが、他のウィルスチェックツールと同じく、どうやらheader.phpやfooter.phpのようにページ表示に関係するファイルをチェックするだけで、Wordpressの全ファイルを見ていないようです。確かに改ざんサイトを見てもウィルスに感染しないのであれば、見る側には問題が無いわけです。
今回の改ざんは、サイト内から無数のスパム(ウイルス)メールが送信させるものでした。ルートにWPにはないcredits.php置かれ、そのソースの始まりは以下です。
<?php
$auth_pass = "774bb8b3a285083cfa3adc070e14b57f";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace
このファイルを置いたハッカーはFTPなどなくてもサイト内を自由に行動できます。よく見るといたるところに改ざんphpファイルが置かれていました。
通常、ハッカーはテーマフォルダーやheader.phpやfooter.phpを改ざんするのですが、これではすぐ気づかれてしまうためか、uploadsフォルダー、imagesフォルダー、プラグインフォルダーのように普段ほとんど見ない場所に改ざんファイルを置いてゆきます。
こうなると、手動で改ざんファイルを削除することは困難です。
サーバー内のデータをすべて削除して、きれいなファイルと置き換える必要があります。
2015年8月11日火曜日
2015年8月1日土曜日
wp-info.phpによるホームページ改ざん(3)
この改ざんは、最終的にサーバー上のファイルを削除し、Wordpress最新バージョンとプラグインををダウンロードして、置き換えることで駆除できました。FTPとWordpressのパスワードは10桁以上の複雑なものにしました。
1ヶ月経ちましたが、改ざんは起こっていません。まだ、Webmastertoolのインデックスは増えたままですが、その内消えると思います。
ふと思うのですが、ウイルスチェックが感知しないのですから、おそらく多くのサイトが知らないうちに感染しているのではとお思います。
1ヶ月経ちましたが、改ざんは起こっていません。まだ、Webmastertoolのインデックスは増えたままですが、その内消えると思います。
ふと思うのですが、ウイルスチェックが感知しないのですから、おそらく多くのサイトが知らないうちに感染しているのではとお思います。
登録:
投稿 (Atom)