• 173月

    3/16の深夜、このブログのCMSの一部が改ざんされていたのを見つけました。
    現在はほぼ復旧しておりますが、ページを閲覧された方々には心よりお詫び申し上げます。
    また、できれば念のため、ウィルス検索などをお願いいたします。

    詳細につきましては、以下に記載していきます。(必要に応じて追記予定です。)

    気づいたのは3/17の21時過ぎ、iPhoneでページがうまく表示されていないのに気づいた時でした。
    広告かなにかの影響で表示が崩れたのかな?と思っていたのですが、HTMLソースにそもそもコンテンツが出ていません。
    そこでPHPを見てみたら、なにやら見慣れないJavaScriptが。
    これをググってみて改ざんに気づいた次第です。

    幸い(?)、iPhoneのほうはテーマのPHPが複雑なのもあり、そもそもエラーになっていて、このJavaScriptはHTMLに展開されていませんでしたが、通常ページのほうが問題です。
    なお、改ざんされた時刻は3/16の23:44頃で、3/17の22:33には元に戻しました。
    すべてのソースをgrepでチェック済みですし、サイトもSucuri SiteCheckで安全確認済みです。

    改ざんされたのはテーマのPHPだけが狙われているということで、おそらくWordPress関連の脆弱性だと推測しつつ、アクセスログを見てみるとこんな記録が。

    static-72-94-191-***.phlapa.fios.verizon.net – – [16/Mar/2012:23:44:07 +0900] “GET /wp-content/plugins/wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1” 200 14560 “-” “Mozilla/5.0 (Windows)”
    (念のため、アクセス元の一部を伏せておきました。)

    停止中だったプラグイン「WP-phpMyAdmin」の脆弱性を突いたというわけです。
    他のブログでも同様の被害が出ているようで、早めに気づいておけば良かったのですが…。
    停止中だったというのと、常に最新状態を保っていたので、ちょっと油断していました。
    ということで、停止中のプラグインやテーマはなるべく削除し、必要最小限の状態にしました。
    念のため、この状態でバックアップも取って、しばらくはこまめに監視したいと思います。

    なお、付加されたコードはまだ詳細に解析できていませんが、おそらくこちらに記載のものと同じだと思われます。

    複雑に難読されたコードもやってることはfile_get_contentsで攻撃コードを取りに行って出力…というものでした。

    ということでしたので、Webブラウザの脆弱性に問題がなければ、最悪、ブラウザをハングさせる程度だったかと思われます。
    ただ、攻撃コード次第でもありますので、大変お手数ですが、ウィルススキャンなどの実施をよろしくお願いいたします。

    いつもご覧頂いている方には大変ご迷惑をおかけしました。
    この場を借りまして、お詫びとさせていただきます。

    関連エントリー:

    Filed under: Blog
    2012/03/17 11:03 pm | WordPress、改ざん はコメントを受け付けていません。

Comments are closed.