2016年11月27日日曜日

wordpress不正アクセスとハッキング対処

wordpressのサイトがおかしかったので対処方法の忘備録として記載しておきます。

症状:wordpressのサイトURLから全く別なWebサイト(ショッピングサイト)へ自動的に飛ばされる。
ffftpでwebサーバ内のwordpressのフォルダ内を見てみたところ"index.php"の中に奇妙な文字列のコードが見つかった。また"htaccess"にも怪しい部分が。
怖かったのでwordpressのログインの記録など見ていると、知らないユーザーが十件くらい登録されていた!

対処1:
index.phpに変なコードが入っているので削除して置き換え
FFFTPでphpの属性変更
ユーザーは管理者以外削除して、ログインのパスワードなどを変更。



htaccessにはいっていたindex.phpのリライト部分を削除
属性変更


症状2:上記にも関わらず数時間後には元のショッピングサイトに飛ばされる症状が止まらない。


サイトでいろいろ調べると同様ではないが、類似の症状で悩まされているユーザーがいたので、その指示にしたがう。

対処2:wordpressのアプリ"exploit scanner"をインストールしスキャンをかけるも、255か所の変な点が出る。"missing "と出ていた"hashes-4.6.1.php"を探して、FFFTPで"exploit scanner"のフォルダに入れる。
再度"exploit scanner"をスキャンすると今度は40数か所の結果がでる。全部それを書き換えたらログインができなくなることがわかって、バックアップから戻す。
"exploit scanner"であやしい部分を削除しながら、ログインできるかどうか繰り返す。一つだけ消すとログインができないファイルがあったのでそれだけを残して、その他をすべてコードの削除をして終わり。

その他、ウィルスソフトやログインセキュリティのソフトの導入とwordpressのバージョンアップなどをして対策。

備考:以前からコメント欄が脆弱であるとは聞いていたのですが、何度か投稿に変な書き込みがあったことがありました。それはその都度削除して対処していたのですが、今回、ログイン履歴を見ると、海外出張の際に、一度ログインしたときに何等かの攻撃を受けた可能性があると思われます。手段はわかりませんが、wordpress内のいくつものファイルが書き換えられて、上記「症状1」のファイルを常時書き換えるように内部から設定されていたようです。恐ろしや。