WordPressサイトを乗っ取りから取り戻した話
Wordpressを利用した知人のサイトが不正アクセスを受けて書き換えられた。その結果、ホームページにアクセスすると縁もゆかりもないページにジャンプするようになってしまった。
相談を受けた私は、不正アクセス者としばし知恵比べ。。。。。
-----------------------------------------------------------------------
先日、ある知人からあわてた様子で電話が入った。自分が運営しているホームページがなくなったというのである。サーバかドメイン管理会社に支払いを忘れたのかと思ったが、とにかく困っている様子なので、そのサイトのアドレスを聞いてブラウザに打ち込んでみる。
そうするとそのサイトとは縁もゆかりもない通販サイトへつながった。おそらくフィッシングサイトなのだろう、高額な楽器を売るページへジャンプした。
それから、その知人に事情聴収。彼は、WordPressを利用してホームページを立ち上げていて頻繁に更新はしていたがアクセス数はそれほど多いわけではないという。記事内容は個人的な考え方を綴っていたようだ。
そのような小規模のサイトでも狙われるんだなあと思いながら、とりあえずWordPressのidとpassを聞いてログイン。どうやら、パスワードは書き換えられていなかったようだ。WordPressのversionは4.2.1。まずは最新版にVersionUp。
同時にFTPでも接続して、ファイルの様子を見る。まず気になったのは、あきらかにindex.phpがおかしい。中身を見るとあれっ?という構文が並んでいる。また、なんだかよくわからないphpファイルも生成されている。これはどう考えても不正アクセスされてあきらかに書き換えられていると判断した私は、WordPressのダッシュボードへ戻る。
WordPressのダッシュボードから、マルウェア対策プラグインをインストール。早速スキャンしてみる。すると、5つのphpファイルが怪しいとピックアップされた。もちろん、index.phpや新たに生成されたphpファイルも含まれている。このファイルは怪しいのかな?というものもあったが、ともかくプラグインの指示に従って駆除! 見事に成功。
これで、ブラウザにアドレスを入力してみると、ホームページは完全に復旧した。不正アクセス者が抜け穴を作っている可能性はあったが、知人と話してとりあえず様子を見ることになったので、WordPressのダッシュボードから、Firewallプラグインをインストルールして有効化。なんと、このサイトにはFirewallがまったくなかったのだ。さらに、調べてみると、レンタルサーバー業者もFirewallを準備していたのでこれをONに。あとはFTPで再び接続して、wp-config.phpと.htaccessを外部から使えないようにパーミッションを変更。
さて、このあとしばらく放置していたが、数時間後に見ると、また書き換えられて妙な通販サイトにジャンプ。
再び、マルウェア対策プラグインをスキャンさせてみると、なぜだか今度はindex.phpしかリストアップしない。マルウェアの仕様が異なるヤツかも知れないが、同じように駆除してホームページを見ると完全に復旧した。
セキュリティも掛けていることから、おそらくは抜け穴がありデータベースにもなにか書き込んでいるのだろうと推測をしたが、とりあえず試しにftpで接続してindex.phpのパーミッションを400にして様子をみた。400というのはサイトオーナーのみ読み込み出来る設定である。いちどこれでこれで効果があるのか試してみたかったのだ。
それから、他の仕事があったので、この件はしばらく放置。その日の夜にアクセスしてみたが問題はなし。これでコントロールを取り戻したのかなと思ったのが、翌朝見るとやはり書き換えられていた。
不正アクセス者もなかなかマメな奴である(笑)。おそらくリモートで書き換えるようなプログラムにしているのであろう。間違いなくデータベースまでコントロールし、抜け道を作っている。index.phpのパーミッション400は全然効果がなかった(^^;)。
ここで、再び知人に連絡。完全にサイトをリフレッシュして移植することを提案。
親しい知人とはいえ、ここから先はちょっと有料(^^;)。
少し手間暇は掛かかったが、その日のうちに完全復旧。
ついでに不正アクセスをチェックするモニターをつけておいたが、なぜだか米国・イギリスからのアクセスが数度ずつ。
しかし、完全にシャットアウト。
どこから操作しているのか知らないが、姑息にも迂回させているのだろう。
というわけで、WordPressでホームページを運用する際は、不正アクセスに気をつけることが重要である。
せめて、Firewallは掛けておくことを忘れずに。
◆平本フォーラム
http://www.hiramoto.com/publish