【復帰】当ブログが改竄されていました

2016年11月21日公開 2016年11月29日最終更新


※現在は復帰しています。ご迷惑をお掛けしました。

ことの発端

長らく放置していて、11月10日。一通のメールが届きました。

ginren.infoのウェブマスター様へ
あなたのサイト「ginren.info」のいずれかのファイルにマルウェアと思われる不審なファイルを発見いたしました。このURLは、Googleによりハッカーのサイトと判断されています。警告を解除するにはマルウェアを取り除いてください。

は?

自分、迷惑メールが頻繁に来るので、これも迷惑メールと判断しゴミ箱へ。
しかしやはり気になり、サイトを開いてました。するとなんということでしょう。瞬時にredirectされてしまい、怪しげなマルウェアサイトに誘導されてしまいました。

やばい…これだと閲覧できないどころか信用に関わる…。

というわけで、大至急問題を特定するため対処を始めました。

対処方法

原因の特定から始め、暫定駆除をするまでの手順です。

どのファイルが感染したのか

これはすぐにわからなかった問題です。Wordpressのファイルは無数にあり、ひとつずつチェックするのには果てしない時間がかかります。

しかし、スクリプトが書き込まれるファイルは特定しました。該当のファイルを見ると、確かにリダイレクトのコードが記述されていました。

コードを削除し、その日は事なきを得ましたが、次の日…。

またやられてるあーもう!

てなわけで、次にすべてのパスワードを変更します。

パスワードを変更しました

FTP、wordpress、その他すべてのパスワードをより強力なものへ変更しました。また、セキュリティプラグインも導入し、コアファイルへのパーミッション変更をしました。
しかし、次の日にはまたスクリプトが書き込まれています。これはもう外部からの注入攻撃でないことは目に見えてます。

時間帯を特定しました

次に、いつ頃にスクリプトが書き込まれてしまうのか監視しました。その結果、20:30~21:00に書き込まれていることが判明しました。おそらく指定した時刻にbotかなにかが作動しているのでしょう。
というわけで、その時間帯にアクセスがあったファイルを調べようとしたら…。だめでした。あまりにも多すぎます。その時間帯が一番閲覧者が多く、何がなんだかわかりませんでした。

ファイルをスキャンした

ファイルをスキャンすることにしました。プラグインを使い、スキャンをしたところ…。

レポート結果
Bad File=157

ぐおっ!こんなに感染していたのか…。と思ったら、エラーは7つ、あとは「タイトルないよ」とかの警告でした。
エラーがあったファイルはすべてコアファイルでした。初期設定に戻し、不審なファイルは消去しました。

対処は完了。

これでしばらく様子を見ることにします。おとといから、スクリプトが書き込まれることはなく、今のところは大丈夫かと思います。しかし、まだ油断はできないので、さらなる監視が必要かもしれません。

まとめ

いろいろデフォルトのまま操作していたので、改めてセキュリティの必要性を感じます。みなさんも僕のようにならないようにご注意ください。そして、これからも頑張って参りますので、足変わらずご覧ください。

今回は画像をつけず文だけでした。申し訳ありません。


1 件のコメント

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


広告です

更新すらしていないけど記事検索する?

遺産級である「最新」の投稿

古すぎる最新記事

カテゴリー

所長の近況

【公式】銀連Minecraft研究所+
@gingacraft