県別コロナウィルス病床数

サイトがハッキングされていました! WordPressの方はご注意を!

こんにちは、スーです。
タイトル通りなのですが、サイトがハッキングされていました。。。
(※該当ファイルは削除・修正し、パスワードも変更しています。ウィルス感染などはない様なのでご安心下さい。)

ハッキングに気づいたのは、この「スーめも」の一覧ページにアクセスした時に、真っ白になって「404」とだけ書かれていたのがきっかけです。

前回更新時(5月25日)は普通だったのに、何でこうなったのか原因が分からず、色々調べました。
私のいくつかのサイトはwordpress(ワードプレス)というシステムを使っているのですが、プラグインをチェックしてみたり、.htaccessの中身をチェックしたりしましたが原因が分かりません。

しかし、404(ページが存在しない)という表示が私のサイトの表示と違うというのに気づき、FTPでワードプレスのテーマファイルを見たところ、なんとカテゴリーを表示させるcategory.phpというファイルがたったの3バイトしかありませんでした。

前回のファイル転送時にミスしたのかな!? と、ファイルの中身を見ると、中には404とだけ書かれていました。

は!? は!? は!?!? なにこれ!?!?

そして他に目についたのが「.sd0」という謎の巨大ファイル。
中身は訳のわからない文字の羅列でした。

そして今まで見たことのない「system.php」という謎のファイルも。
中を見ると、
$default_action = ‘FilesMan’;
$default_use_ajax = true;
$default_charset = ‘Windows-1251’;
そして大量の文字列が・・・

何これ!?!? と思い、「FilesMan」で検索してみると、なんとこれはバックドアという仕組みで、ハッキングされたら、何もかも好きに改ざんできるコードらしいことが判明!!

他に怪しいファイルがないかチェック!!
ratan.phpという謎のファイル。(中身は大量の文字列)
index.html(作った覚えのない、中身が空のファイル)
自分で作ったfooter.phpファイルの頭に、怪しいコードが追加されていた。(iframeで、見えない所に、「ttps://siteonline.click/statistics_online」へのリンク。←よく分からないけれど、サイトがダウンした時の情報を知るサイトらしい?)

他のワードプレスのテーマファイルの中も調べると、以下のようにたくさん見つかりました。。

スーのページ
知らない間に出現したファイル
・.sd0(中身文字列、巨大なファイル。)
・system.php(FilesManのコードが仕込まれているファイル。)
・ratan.php(中身文字列)
・index.html(中身空っぽのファイル)

コードが追加されていたファイル
・footer.php(アクセス解析のようなサイトをこっそり開くコードがあった)

書き換えられていたファイル
・category.php(404に書き換え)

旅するタイ式マッサージ
.sd0(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
area.php(404に書き換え)

マヨマニア
footer.php(コード)

こんにちワールド
.sd0(出現)
index.html(出現)
ratan.php(出現)
system.php(出現)
footer.php(コード)
basic.php(404に書き換え)

他に同じようなファイルがないか、Tera Termでサーバーにssh接続してコマンド実行。
find -name system.php(system.phpの存在をチェック)
find -name ratan.php(ratan.phpの存在をチェック)
find -size 3c (3バイト以下のファイルをチェック)
grep -inra ‘FilesMan’ public_html/ |more(FilesManという文字列が中身に書かれたファイルをチェック)
find -name .htaccess -mtime -40(40日以内に更新された.htaccessファイルをチェック)

怪しいファイルが設置されたのが6月9日だったので、40日以内に更新されたファイルもチェックしました。

■やったこと
・該当ファイルを削除・修正
・FTP、wordpressのパスワードを変更
・以前のデーターベースを保守&データーベースのバックアップ
・ワードプレスでのエクスポート(ワードプレスを新しくゼロからインストールする場合にインポートする)
・自分のPCのウィルスチェック(ウィルス感染なし)
・サーバー会社に連絡

ワードプレスも最新版にしていましたし、一体どこから私のサイトがハッキングされてしまったのか分かりませんが、こんな個人サイトでもハッキングされてしまうんですね。。。恐怖です。。
ウィルスをばら撒いたり、とんでもなく改ざんされてしまったりということはなかった(と思う)のですが、1ヶ月以上もこのことに気づかなかったなんて恐ろしいです。

普段からこまめにバックアップをとり、サイトのメンテナンスをすることが大事ですね。。。

色々とチェックしましたが、おかしなファイルは全てワードプレスのテーマファイルの中にありました。
ワードプレスを使っている人は、参考までに気をつけて下さい。
FilesManで検索をしても、日本語のサイトは数件しかヒットしないので、気づいていないワードプレスオーナーの人が多いかもしれません。


楽天ポイントが貯まるアプリ

ちょっとお得情報

コンビニ・ATM等チャージで1000ポイント貰えるよ♪
Amazonチャージ 初回購入で1000ポイントキャンペーン

【12/1まで】1年以上Kindle Unlimitedを使っていない人は、今なら3か月99円!
はじめてのKindle Unlimitedプラン 2か月299円

【12/14まで】通常1か月が今なら2か月無料体験!
最初の1冊は無料。ボイスブックAudible

動画の無料体験で見放題だよ♪
無料体験できる動画配信サービスを比較 見放題で半年以上無料に!?

kindleの無料本だよ♪
kindle無料本一覧
スーめも 目次一覧

人気の記事

ノートパソコン「LG gram」を分解してSSDを1TB増設
ダイソーのマッサージグッズが凄くいい!すっきりバーは神レベル!
布とミシンで手帳型スマホケースを手作り お札もカードもバッチリ
冬が寒すぎる!室内用テントを自作してみたら9度も暖かい!!
マヨマニア
通販? ハイハイ? 催眠商法? のお店が100円で色々くれて凄かった
500円でマッサージローラーを自作!体中がほぐせて超気持ちいい~☆
【簡単リメイク】キャミワンピをスカートに! 着れない服が復活よ☆
ユニクロの誕生感謝祭に行った帰りに捕まって死にたくなった話
スーめも
ユニクロの誕生感謝祭に行った帰りに捕まって死にたくなった話
2020.11.19
2020年11月 楽天のお買い物マラソンで買ったもの全12点
スーの買い物
2020年11月 楽天のお買い物マラソンで買ったもの全12点
2020.11.17
寒い季節も飲み物が温かい☆真空断熱タンブラーの温度変化記録
スーレポ
寒い季節も飲み物が温かい☆真空断熱タンブラーの温度変化記録
2020.11.16
ダイソーのイヤーマフが可愛くて暖かい☆猫にも超カワイイ!!
スーめも
ダイソーのイヤーマフが可愛くて暖かい☆猫にも超カワイイ!!
2020.11.09
もっと新着記事を見る

コメント

タイトルとURLをコピーしました