【戯言】派手にWordPressを書き換えられた。消しても消しても復活する.htpaccessとindex.php

徒然草2.0

エックスサーバにて、こちらの方とまったく同じ症状になりました(汗)

WordPressサイトがマルウェアに感染した話とその対処法について

WordPressの管理画面に入れなくなり、固定ページのいくつかが謎のECサイト記事やニュース記事のリンクなどが表示されるという有様に。かなり派手にやられました。過去にDockerでまるっとDBをランサムウェア的なやつに書き換えられて身代金を要求されたことがありますが、今回のやつもなかなかド派手にやられてしまった感があります。

バックアップで復元したそばから、.htaccesやindex.phpを消してもすぐ作られてしまい…あれどういうこと??

???なぜ???

WordPressそのものを削除したし、FTPアカウントは消したし、他に侵入経路はないはずだが???…ということで、SSHしてプロセスを確認したところ…l.php という謎のプロセスが常時実行されていました。それをkillしたら.htaccessが作られなくなった。とりあえずDB情報はパクられたと思って変更をしたほうがよさそうだが、中身は壊されていないようなのでそのまま利用をしている(ほんとうはよろしくない)。あくまでWordPress系PHPスクリプトの改ざん(というか置き換え)するタイプの攻撃だと思われる。

ファイルは相当派手に壊されている気がしたので、1日前のバックアップデータから復元した。

なお、Xサーバ上の自分のファイル領域すべてのディレクトリにsmail.phpというなぞのphpスクリプトが配置されており、非常に不気味…だった。外部からアクセスしたらメールを発射しまくる仕組みかなにかなのだろうか???管理画面に仕込まれたphpスクリプトも一部たぶんハッカーの意図したとおりに動作はしていなかったようだが、かなり焦りました。

特定のWordPressのバージョンを上げていなかったせいなのかな?と思いました。確かに1,2年くらい放置していたWordPressサイトがあったのでそれらのWordPressとプラグインをアップデートしました。それで解決したのかどうかは不明。いずれにせよ、このWordPressは最新版だったのですが、同一権限のディレクトリにあるWordPressだとやられてしまうらしい。WPXサーバのようにKUSANAGIだっけ?Dockerコンテナで環境が分離されている場合はたしかにすべておじゃんにならないという意味でいいのかも…などとWPXサーバからエックスサーバに移ってきて痛い目に遭ったのでした。

とりあえずバックアップサーバを”自分で”作っておいたほうがいいかもしれません。

コメント

タイトルとURLをコピーしました