2019年7月初旬に起こったwordpressホームページの改ざん(ホームページ改ざん:検索で表示されるタイトルと説明文が書き替えられた)は、XML-RPC Pingbackの脆弱性を利用され、DDOS攻撃によりバックドアを作られたのが原因のようです。
php5.3で作成された古いwordpressサイトをいきなり7.1に変更した場合、まったく動作しないことがあります。それが理由でバージョンアップせず放置しておくと今回のような改ざん被害にあってしまいます。
wordpressの心臓部分であるwp-config.phpにXML-RPC Pingbackを有効にするフィルターが追加されていました。
バックドアの削除、不正ファイルの削除、不正ソースの削除、wp-config.phpの不正フィルター部分を削除した後、Disable XML-RPC Pingbackプラグインを有効化して改ざんは収まり、1か月経過しました。
「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索すると、いまだに多く委のページが改ざんされたままになっています。
Disable XML-RPC Pingbackの重要性を改めて認識しました。
2019年8月5日月曜日
2019年7月16日火曜日
ホームページ改ざん:検索で表示されるタイトルと説明文が書き替えられた
2019年7月初め、使っているヘテムルサーバーでホームーページ改ざんがありました。
改ざん状態
改ざん状態
- 多数のバックドアが取り付けられている
- 検索で表示されるタイトルと説明文が書き替えられた。
例、住宅関連のサイトなのに「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」や「ジュエリー・・・・・」のような関連性のないタイトルに書き替えられていました。 - スマホでアクセスするときのみリダイレクトで他のサイトへ移動する。
- Wordpress関連だけでなく、あらゆる階層に不正ファイルを取り付けている
例 css、images、js等々のフォルダー - ルートにあるindex.phpおよびwp-config.php内に不正プラグラムを埋め込まれている
- 最後に最も驚いたことですが、Googleの検索結果の表示を自由に変更できていることです。Yahooショッピングでもないのに、パンクズで「Yahooショッピング」カテゴリーを表示させています。
ヘテムル内の10サイト全部改ざんされたので、10日ほどで駆除し、現在監査中です。
上記6について、調べてみると、世界中でこの改ざんが多発しているようです。
2019年7月16日現在、「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索して表示されるサイトのほとんどが改ざんされています。この検索キーワード以外にも複数あるようです。
Yahooショッピングの表示まで偽造されています。下記画像をクリックしてください。
2019年7月16日現在、「GOODYEAR EAGLE REVSPEC スタンス RS-02 265 BBS/35R18」で検索して表示されるサイトのほとんどが改ざんされています。この検索キーワード以外にも複数あるようです。
Yahooショッピングの表示まで偽造されています。下記画像をクリックしてください。
登録:
投稿 (Atom)