先日、自分のドメインでWordPressを運営している別サイトを、iPhone表示で見るためiPhoneで開いたら別のURLにリダイレクトし「ウイルスに感染しています」のようなメッセージのページが表示されました。
噂には聞いていましたが、でもこのサイトは昨日もPCでチェックしたばかりだな…
と思いつつ、まずはPCでこのサイトを開いてみました。
すると正常に表示されました。
それからそのサイトの.htaccessを調べてみると、なるほど…
PCでチェックできなかったわけですね…
PCからアクセスしたときには通常表示するが、それ以外のUserAgentのパターンを大量に書いて、そのUserAgentで訪問した場合「hogehoge.ru」というサイトにリダイレクトする、という記述になっていました。
.htaccessの不正アップロードに遭いました。
取り急ぎ
- ローカルのFTPソフトをアンインストールしてレンタルサーバーのFTPパスワードを変え、
- ドメインのネームサーバーを別のレンタルサーバーに振り向け、
- その別のレンタルサーバーにWordPressを設置して
- 事前にローカルでバックアップを取っていたxmlとメディアをインポートし、
まずはサイト移転を完了。
続いて感染WordPressのレンタルサーバーのファイルマネージャーでレンタルサーバー内のアップロードファイルを調べたところ、.htaccessがアップロードされた日付は4日前となっていました。
.htaccessがアップロードされたその4日前のおよそ10日ほど前に、そういえばこのサーバーから主要なWordPressサイトをいくつか転出させてました。
そのとき転出させたサイトの残存WordPressは削除しました。
しかし、残したWordPressサイト(今回改ざんをうけたやつ)にはいくつかプラグインを管理画面から新規追加し、新規にローカルにFTPソフトをインストールして、WEB上にあった公式ではないテーマファイルをZIPでアップロードしてました。
となると、改ざんを受けた原因の選択肢は
- ローカルのFTPソフトからFTPパスワードが洩れた
- ZIPでアップロードしたテーマファイル
- 管理画面から新規追加したプラグイン
となります。
うち3番は、WordPress公式に入っているプラグインには不正コードが仕込まれている可能性が低いと思うので、除外します。
1番は、パスワードを平文で保存していないといわれているFTPソフトなのにくわえ、過信するわけではありませんがローカルPCやルータのファイアウォールに加え自宅にUTMまで設置しているというレベルです。
これでやられたらほかに手立てはないかと。
コメント