サイトがハッキングされていました! WordPressの方はご注意を!

こんにちは、スーです。
タイトル通りなのですが、サイトがハッキングされていました。。。
(※該当ファイルは削除・修正し、パスワードも変更しています。ウィルス感染などはない様なのでご安心下さい。)
ハッキングに気づいたのは、この「スーめも」の一覧ページにアクセスした時に、真っ白になって「404」とだけ書かれていたのがきっかけです。
前回更新時(5月25日)は普通だったのに、何でこうなったのか原因が分からず、色々調べました。
私のいくつかのサイトはwordpress(ワードプレス)というシステムを使っているのですが、プラグインをチェックしてみたり、.htaccessの中身をチェックしたりしましたが原因が分かりません。
しかし、404(ページが存在しない)という表示が私のサイトの表示と違うというのに気づき、FTPでワードプレスのテーマファイルを見たところ、なんとカテゴリーを表示させるcategory.phpというファイルがたったの3バイトしかありませんでした。
前回のファイル転送時にミスしたのかな!? と、ファイルの中身を見ると、中には404とだけ書かれていました。
は!? は!? は!?!? なにこれ!?!?
そして他に目についたのが「.sd0」という謎の巨大ファイル。
中身は訳のわからない文字の羅列でした。
そして今まで見たことのない「system.php」という謎のファイルも。
中を見ると、
$default_action = ‘FilesMan’;
$default_use_ajax = true;
$default_charset = ‘Windows-1251’;
そして大量の文字列が・・・
何これ!?!? と思い、「FilesMan」で検索してみると、なんとこれはバックドアという仕組みで、ハッキングされたら、何もかも好きに改ざんできるコードらしいことが判明!!
他に怪しいファイルがないかチェック!!
ratan.phpという謎のファイル。(中身は大量の文字列)
index.html(作った覚えのない、中身が空のファイル)
自分で作ったfooter.phpファイルの頭に、怪しいコードが追加されていた。(iframeで、見えない所に、「ttps://siteonline.click/statistics_online」へのリンク。←よく分からないけれど、サイトがダウンした時の情報を知るサイトらしい?)
他のワードプレスのテーマファイルの中も調べると、以下のようにたくさん見つかりました。。
スーのページ
知らない間に出現したファイル
・.sd0(中身文字列、巨大なファイル。)
・system.php(FilesManのコードが仕込まれているファイル。)
・ratan.php(中身文字列)
・index.html(中身空っぽのファイル)
コードが追加されていたファイル
・footer.php(アクセス解析のようなサイトをこっそり開くコードがあった)
書き換えられていたファイル
・category.php(404に書き換え)
旅するタイ式マッサージ
.sd0(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
area.php(404に書き換え)
マヨマニア
footer.php(コード)
こんにちワールド
.sd0(出現)
index.html(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
basic.php(404に書き換え)
他に同じようなファイルがないか、Tera Termでサーバーにssh接続してコマンド実行。
find -name system.php(system.phpの存在をチェック)
find -name ratan.php(ratan.phpの存在をチェック)
find -size 3c (3バイト以下のファイルをチェック)
grep -inra ‘FilesMan’ public_html/ |more(FilesManという文字列が中身に書かれたファイルをチェック)
find -name .htaccess -mtime -40(40日以内に更新された.htaccessファイルをチェック)
怪しいファイルが設置されたのが6月9日だったので、40日以内に更新されたファイルもチェックしました。
■やったこと
・該当ファイルを削除・修正
・FTP、wordpressのパスワードを変更
・以前のデーターベースを保守&データーベースのバックアップ
・ワードプレスでのエクスポート(ワードプレスを新しくゼロからインストールする場合にインポートする)
・自分のPCのウィルスチェック(ウィルス感染なし)
・サーバー会社に連絡
ワードプレスも最新版にしていましたし、一体どこから私のサイトがハッキングされてしまったのか分かりませんが、こんな個人サイトでもハッキングされてしまうんですね。。。恐怖です。。
ウィルスをばら撒いたり、とんでもなく改ざんされてしまったりということはなかった(と思う)のですが、1ヶ月以上もこのことに気づかなかったなんて恐ろしいです。
普段からこまめにバックアップをとり、サイトのメンテナンスをすることが大事ですね。。。
色々とチェックしましたが、おかしなファイルは全てワードプレスのテーマファイルの中にありました。
ワードプレスを使っている人は、参考までに気をつけて下さい。
FilesManで検索をしても、日本語のサイトは数件しかヒットしないので、気づいていないワードプレスオーナーの人が多いかもしれません。


ちょっとお得情報

【2018年3月1日~2019年6月21日】←もうすぐ終了!
アマゾンギフト券に初回5000円以上チャージ(コンビニ・ATM・ネットバンキングのいずれか)するだけで、なんと1000ポイントもらえますよ! これは凄い!(>▽<)
クレジットカードのチャージは対象外ですよ!
Amazonチャージ 初回購入で1000ポイントキャンペーン
【2019年4月9日~終了日未定】
Amazon Music Unlimited」が、無料でなんと90日間お試し可能!
6500万曲以上が、90日間も音楽聴き放題なんて!(>▽<)

【条件】まず、amazonから楽曲をダウンロード(無料~)し、それからAmazon Music Unlimited(月額)の無料体験に申し込むこと。
【対象者】登録画面「30日間無料体験を始める」と表示される方。
【対象かどうかの確認】登録画面の個人プラン表示の下に「90日間0円」と表示されていること。
【新規登録限定】MP3ダウンロードでAmazon Music Unlimitedが 90日間お試し可能
無料~の楽曲はコチラ!→「無料&スペシャル・プライス」
Amazon Music Unlimitedの申し込みはコチラ!
※退会・解約は「Amazon Musicの設定」→「会員登録をキャンセルする」で、いつでも可能です♪
  • このエントリーをはてなブックマークに追加

【楽天市場】ランキング市場 【ケーキ】

楽天ウェブサービスセンター