サイトがハッキングされていました! WordPressの方はご注意を!

こんにちは、スーです。
タイトル通りなのですが、サイトがハッキングされていました。。。
(※該当ファイルは削除・修正し、パスワードも変更しています。ウィルス感染などはない様なのでご安心下さい。)

ハッキングに気づいたのは、この「スーめも」の一覧ページにアクセスした時に、真っ白になって「404」とだけ書かれていたのがきっかけです。

前回更新時(5月25日)は普通だったのに、何でこうなったのか原因が分からず、色々調べました。
私のいくつかのサイトはwordpress(ワードプレス)というシステムを使っているのですが、プラグインをチェックしてみたり、.htaccessの中身をチェックしたりしましたが原因が分かりません。

しかし、404(ページが存在しない)という表示が私のサイトの表示と違うというのに気づき、FTPでワードプレスのテーマファイルを見たところ、なんとカテゴリーを表示させるcategory.phpというファイルがたったの3バイトしかありませんでした。

前回のファイル転送時にミスしたのかな!? と、ファイルの中身を見ると、中には404とだけ書かれていました。

は!? は!? は!?!? なにこれ!?!?

そして他に目についたのが「.sd0」という謎の巨大ファイル。
中身は訳のわからない文字の羅列でした。

そして今まで見たことのない「system.php」という謎のファイルも。
中を見ると、
$default_action = ‘FilesMan’;
$default_use_ajax = true;
$default_charset = ‘Windows-1251’;
そして大量の文字列が・・・

何これ!?!? と思い、「FilesMan」で検索してみると、なんとこれはバックドアという仕組みで、ハッキングされたら、何もかも好きに改ざんできるコードらしいことが判明!!

他に怪しいファイルがないかチェック!!
ratan.phpという謎のファイル。(中身は大量の文字列)
index.html(作った覚えのない、中身が空のファイル)
自分で作ったfooter.phpファイルの頭に、怪しいコードが追加されていた。(iframeで、見えない所に、「ttps://siteonline.click/statistics_online」へのリンク。←よく分からないけれど、サイトがダウンした時の情報を知るサイトらしい?)

他のワードプレスのテーマファイルの中も調べると、以下のようにたくさん見つかりました。。

スーのページ
知らない間に出現したファイル
・.sd0(中身文字列、巨大なファイル。)
・system.php(FilesManのコードが仕込まれているファイル。)
・ratan.php(中身文字列)
・index.html(中身空っぽのファイル)

コードが追加されていたファイル
・footer.php(アクセス解析のようなサイトをこっそり開くコードがあった)

書き換えられていたファイル
・category.php(404に書き換え)

旅するタイ式マッサージ
.sd0(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
area.php(404に書き換え)

マヨマニア
footer.php(コード)

こんにちワールド
.sd0(出現)
index.html(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
basic.php(404に書き換え)

他に同じようなファイルがないか、Tera Termでサーバーにssh接続してコマンド実行。
find -name system.php(system.phpの存在をチェック)
find -name ratan.php(ratan.phpの存在をチェック)
find -size 3c (3バイト以下のファイルをチェック)
grep -inra ‘FilesMan’ public_html/ |more(FilesManという文字列が中身に書かれたファイルをチェック)
find -name .htaccess -mtime -40(40日以内に更新された.htaccessファイルをチェック)

怪しいファイルが設置されたのが6月9日だったので、40日以内に更新されたファイルもチェックしました。

■やったこと
・該当ファイルを削除・修正
・FTP、wordpressのパスワードを変更
・以前のデーターベースを保守&データーベースのバックアップ
・ワードプレスでのエクスポート(ワードプレスを新しくゼロからインストールする場合にインポートする)
・自分のPCのウィルスチェック(ウィルス感染なし)
・サーバー会社に連絡

ワードプレスも最新版にしていましたし、一体どこから私のサイトがハッキングされてしまったのか分かりませんが、こんな個人サイトでもハッキングされてしまうんですね。。。恐怖です。。
ウィルスをばら撒いたり、とんでもなく改ざんされてしまったりということはなかった(と思う)のですが、1ヶ月以上もこのことに気づかなかったなんて恐ろしいです。

普段からこまめにバックアップをとり、サイトのメンテナンスをすることが大事ですね。。。

色々とチェックしましたが、おかしなファイルは全てワードプレスのテーマファイルの中にありました。
ワードプレスを使っている人は、参考までに気をつけて下さい。
FilesManで検索をしても、日本語のサイトは数件しかヒットしないので、気づいていないワードプレスオーナーの人が多いかもしれません。

  • このエントリーをはてなブックマークに追加

【楽天市場】ランキング市場 【スマートフォン・タブレット】

2位
2808円~
レビュー(675件)
3位
4978円~
レビュー(785件)
楽天ウェブサービスセンター