WEBマスター
WordPressレンタルサーバー

htaccessが改ざんされる

この記事は約3分で読めます。

先日、自分のドメインでWordPressを運営しているとある別のサイトを、iPhone表示で見るためiPhoneで開いたら

別のURLにリダイレクトし「ウイルスに感染しています」のようなメッセージのページが表示されました。

噂には聞いていましたが、でもこのサイトは昨日もPCでチェックしたばかりだな…
と思いつつ、まずはPCでこのサイトを開いてみました。
すると正常に表示されました。

それからそのサイトの.htaccessを調べてみると、なるほど…
PCでチェックできなかったわけですね…

PCからアクセスしたときには通常表示するが、それ以外のUserAgentのパターンを大量に書いて、そのUserAgentで訪問した場合「hogehoge.ru」というサイトにリダイレクトする、という記述になっていました。

.htaccessの不正アップロードに遭いました。

取り急ぎ

  • ローカルのFTPソフトをアンインストールしてレンタルサーバーのFTPパスワードを変更し、
  • ドメインのネームサーバーを別のレンタルサーバーに振り向け、
  • その別のレンタルサーバーにWordPressを設置して
  • 事前にローカルでバックアップを取っていたxmlとメディアをインポートし、

まずは感染サイトのバックアップで移転を完了。

続いて感染WordPressのレンタルサーバーのファイルマネージャーでレンタルサーバー内のアップロードファイルを逐一調べたところ、.htaccessがアップロードされた日付は4日前となっていました。

.htaccessがアップロードされたその4日前直前の特別なことといえば、そのおよそ10日ほど前にこのサーバーから主要なWordPressサイトをいくつか転出させてました。
そのとき転出させたサイトの残存WordPressは削除しています。

しかし、残したWordPressサイト(今回改ざんをうけたやつ)にはいくつかプラグインを管理画面から新規追加し新規にローカルにFTPソフトをインストールして、WEB上にあった非公式のテーマファイルをZIPでアップロードしてました。

となると、改ざんを受けた原因の選択肢は

  1. ローカルのFTPソフトからFTPパスワードが洩れた
  2. ZIPでアップロードしたテーマファイル
  3. 管理画面から新規追加したプラグイン

となります。

うち3番は、WordPress公式に入っているプラグインには不正コードが仕込まれている可能性が低いと思うので、除外します。

1番は、パスワードを平文で保存していないといわれているFTPソフトなのにくわえ、過信するわけではありませんがローカルPCやルータのファイアウォールに加え自宅にUTMまで設置しているというレベルです。

HP Proliant ML115 G1にSophos UTM Home Editionを導入してみた
ご無沙汰しています。このブログではこれまで、古いものをカスタムして本来の機能を超えた能力が発揮できる、という喜びを何よりのモチベーションにしてきました。だからといって古いものを捨てないでいると、さすがにどんな改造をしてももう使い物にならないものも多くなってきて、物置が一杯になってきました。そこでこのご無沙汰している間、このブログに登場したものも含めたくさんのガジェットを処分してました。昔お世話になったToshibaやIBM含め、32bitのPCはすでにもう1台もありません。この度はオフハウス様に本当にお世話...
localharvestsupply.com
2015.10.28

2番が怪しいですが、ホスト先だったレンタルサーバーもひそかに怪しいと考えています。
これでやられたらほかに手立てはないかと。

コメント

タイトルとURLをコピーしました