WordPressで運用していたブログにマルウェアを仕込まれてしまったようで…(このブログではないです。。)
どのようなことが起きたか、どのような対処をしたかについて、備忘録として残しておきたいと思います。。
不正なインデックスが大量に作成されていた
ある日、朝起きたらサーチコンソール上で見覚えのないインデックスが大量に作成されていることを確認した
https://[ドメイン名]/123456789.htm
みたいな感じで数万件のインデックスが作成されていた
リンク先を確認してみると、海外の怪しい?ECサイトのようだった
最初はインデックスの削除の申請を出そうと考えたものの、そもそも何が起きているのか、どうすれば良いのかを考えないといけないので、色々と考えてみた
とりあえずWordPressの管理画面にログインしたところ、入れた覚えのないプラグインが見えた
そのプラグインはファイルマネージャー系のツールらしく、もしかしたらそのツール経由で何かスクリプトでも仕込まれたのではないかと思い、一旦サーバー内のファイルを確認することにした
対処した内容について
Conoha Wingの管理画面からファイルマネージャーに入り、怪しいファイルがないか確認してみた
/public_html/[ドメイン名]/の配下を確認したところ、比較的最近の日付で怪しいファイルがいくつか見つかった
私が発見したファイルは/public_html/[ドメイン名]ディレクトリ内の以下4ファイル
- /public_html/[ドメイン名]/e.php
- /public_html/[ドメイン名]/k.php
- /public_html/[ドメイン名]/e.zip
- /public_html/[ドメイン名]/123.php
あと/public_html/[ドメイン名]/wp-includes/の配下にも
- /public_html/[ドメイン名]/wp-includes/zj1045.zip
という怪しいファイルが存在しているのを確認した
あとは/public_html/[ドメイン名]/index.phpファイルも更新されていたようだったので中身を確認したところ、ファイル内でzj1045.zipファイルを呼び出すような内容に書き換えられていた
対応した内容として
①以下ファイルの削除
- /public_html/[ドメイン名]/e.php
- /public_html/[ドメイン名]/k.php
- /public_html/[ドメイン名]/e.zip
- /public_html/[ドメイン名]/123.php
- /public_html/[ドメイン名]/wp-includes/zj1045.zip
② index.phpファイルを元に戻す
③プラグインの削除
④管理者アカウントのパスワード変更
上記を行った
本当はバックアップから復元するべきかとは思ったが、いつの時点でスクリプトを仕込まれていたかがわからず、どの時点に戻すのが確実かわからなかったため、一旦上記の対応を行った
管理者アカウントを乗っ取られた?
想像ではあるが、管理者アカウントが乗っ取られ、サーバーへのアクセス用のプラグインを入れられてそこに上記のファイルを置かれたものだと考える
SiteGuardのログイン履歴を確認したところ、どうやら不正なインデックスが作成される現象が起きる少し前にXMLRPC経由でのログインエラーが大量に起きていたため、前触れはあったかもしれない
WordPressでサイトの運営をしている方はくれぐれもご注意ください
コメント