【WP】WordPressにまた乗っ取られてwp_sid.phpとかいうものが配置されている(汗)

※なぜかファイルが削除された(した?)のでありません※

↑ なんかこういうやつです。内部IPとかOS種別とか念の為モザイクで隠していますが…ファイルがすべて見えちゃっている状態。

またまた、Wordpressにバックドアが仕掛けられている(滝汗)。

index.phpなどは動いてはいるものの中身が暗号化されており(たぶん他のPHP系スクリプトは全滅)、すべての階層にwp_sid.phpという見慣れないファイルが置かれていて、Webからアクセスしてみると、シェルコマンドの実行機能とファイルマネージャ機能を持ったWebアプリケーションが表示される。

この「ごみぶろぐ」をはじめXサーバで20以上のWordPressを運用しているが、どのWordPressが乗っ取られているのかが分からない。

怪しいのは3つほどあって…たぶんこれだ!というずっと前からログインしていないWordPressサイトがあったので、それらのWordPressサイトをすべて削除。たまにログインして更新するという手間だけは絶対にかけないとダメですね。おそらくWordPress本体とプラグインの更新を怠っているものがいくつかあったので、それが乗っ取られているのだと思う…で合っているので、その手のブログを一先ず閉鎖した。書き換えられたファイルはすべて破棄してバックアップからサイトを復旧。1つわけあって更新が終わった日本製プラグインがあるが、そういうものよりも中国人ハッカーが踏み台にしない運用を心がけることの方が有効だと思われる。

(攻撃に使われているオープンソースなどを見る限りは選定者が中国人だと勝手に判断したが確証はない)そもそも乗っ取られないようにすべきだが、仮に乗っ取られてもすぐ気がついて対処できること。乗ってられてもいいデータしかおかないこと。が一先ず有効かなと思っています。Maildirの中身は転送させているので中身はなく、重要なものはおいていないので楽観視はしていますが、やはり大切なモノ(たとえば銀行口座の番号)なんかは家庭や組織とは別のプライベート空間に保存しておいたほうがいいのかも?と思うこの頃です。

徒然草2.0
スポンサーリンク
シェアする
gomiryoをフォローする
ごみぶろぐ

コメント

タイトルとURLをコピーしました