WordPress改ざん 全てのphpファイルに自動で書き込みスパムが入っていたので復旧作業をしていた

WordPress改ざん 全てのphpファイルに自動で書き込みスパムが入っていたので復旧作業をしていた
毎日更新していたこのブログが昨日更新できなかった。

理由は

このブログが改ざんされてて復旧をしていたから。

photo credit: Ataxexe via photopin cc

気が付いたのは夜

朝から本業で忙しくて家に帰って、朝から全く自分のサイトを確認していなかった。お風呂入ってからブログを更新しようと「http://sedoriplan.com/」開いたら、ページが真っ白で何も表示されなかった。

DreamweaverでFTPつないだら、FTPには繋がったので「ドメインが切れたか?」ってかな。他のサイト、ファイルを確認したら表示されてたので設定が変わった? 昨日入れたプラグインがまずかった? ぐらいに思ってました。

友達からの連絡で気が付いた!

「ホームページが見れないよ。ってか何で外国のサイトが表示されるの?」友達から連絡を受けて、サイトを確認して「あっ、リダイレクトがかかってる。これってもしかしてサイトが改ざんされた?」

友達からの連絡で気が付いた!

最近まったくさわっていないファイルなのに「更新日付」が「2013/10/17 2:44」。「wp-cron.php」「wp-activate.php」こういったファイルはWordPressを導入してから触ることが無いので大体インストールした日付になっているのではずです。

ここで、確信しました。 やられたよ。。。

「2013/10/17 2:44」って、ほぼ一日このブログが見れない状態だったのか!

改ざんされたファイルを探す

去年の年末に、会社が使っていたテストサイトにも改ざんされたので「改ざん」に関しては免疫はあるのでそれほど驚かなかったです。1度経験すると、落ち着いて対処できますね。

【せどりPlanのサイトの状況:改ざんされた状態】

  • 4つWordPressが入っていて、全てのWordPressに改ざんがあった
  • htmlファイルは問題なかった
  • スクラッチで作ったサイト(すべてphpで作ったサイト)にも改ざんがあった

phpファイルすべてに改ざんがありました。

改ざんされたファイルを探す

今回の改ざんは、「<?php」で書かれている箇所のあとに「eval(base64_decode~~」って書かれてありました。

サイト復旧作業WordPress

  • テーマファイルをダウンロード
  • 使っているプラグインをメモする
  • wp-config.phpだけダウンロードする
  • 画像をダウンロード
  • WordPressを新たに入れなおす。

テーマファイルをダウンロード

まず、テーマファイルをサーバーからダウンロードしてください。
自分で作成したテーマファイルならバックアップがあれば、バックアップデータを使ってください。
わたしは「stinger」というテーマファイルを使っているので公式サイトからダウンロードすれば良いのでサーバーからはダウンロードしませんでした。

もし自作のテーマファイルでバックアップが無いなら、1つ1つファイルを見て埋め込まれた記述を削除してください。

wp-config.phpだけダウンロードする

このファイルに、データーベースアクセスに必要なデータがあるのでパスワードが書き換えられていたり、赤枠で囲った「wp_」が変わっていることもあるそうです。わたしは、phpmyadminもみましたがデーターベースの中までは変えられいませんでした。

wp-config.phpだけダウンロードする

使っているプラグインをメモする

プラグインも全て書き込まれていたので、使っているプラグインをメモして新たに入れなおすことにしました。

http://webskillup.com/ety/20130531234440/

WordPress管理画面から普通にプラグインをインストールしてはダメで、パーミッションが644になってしまい、また改ざんされます(当方の場合その間1日で再度改ざんされてました)。配布サイトからダウンロードして、必ずパーミッション404になるようにアップします。アップロード先は、wp-content>pluginsフォルダ内になります。

公式サイトからダウンロードして手動でアップロードが良さそうですね。

画像をダウンロード

データーベースの中が変わっていなかったので、ブログに掲載している画像をダウンロードしました。
「wp-content」→「uploads」の画像ファイル全てです。

WordPressを新たに入れなおす

「テーマフォルダ」「画像フォルダ」「wp-config.php」をダウンロードしたら、サイト上にあるWordPressファイルを全て削除します。削除したら、新たにWordPressをインストールします。

その次に、「wp-config.php」のファイルに書かれているパスワードなどを変えて、wp-config.phpをアップロードしてください。終ったらテーマフォルダ、画像フォルダをアップロードしました。

ここまでできればサイトは表示されるはずです!

まとめ

WordPress改ざん 全てのphpファイルに自動で書き込みスパムが入っていたので復旧作業をしていた
今回の改ざんは、ファイルが書き込まれただけだったのでまだかわいい方です。会社のサイトの改ざんは、改ざん+知らないファイルがドンドン増えていくプログラムでした。お手上げ状態で会社のサイトは解約しました。

改ざんされたら、Wordpressファイルを一つ一つ修正していくのではなくテーマファイルのみの修正。あとは、公式からWordPressとか入れなおしたほうが早いです。

復旧したけど数日間様子みます。これでもまだ表示に問題などある場合は、一度まっさらにしてWordPressを入れなおします。
表示されたので少し安心しました。

今後のセキュリティの対策はまたブログで書きます!

photo credit: Sanctuary photography → back ! maybe :p via photopin cc

WordPress改ざん 全てのphpファイルに自動で書き込みスパムが入っていたので復旧作業をしていた

1 個のコメント

  • コメントを残す

    メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

    *