3/16の深夜、このブログのCMSの一部が改ざんされていたのを見つけました。
現在はほぼ復旧しておりますが、ページを閲覧された方々には心よりお詫び申し上げます。
また、できれば念のため、ウィルス検索などをお願いいたします。
詳細につきましては、以下に記載していきます。(必要に応じて追記予定です。)
気づいたのは3/17の21時過ぎ、iPhoneでページがうまく表示されていないのに気づいた時でした。
広告かなにかの影響で表示が崩れたのかな?と思っていたのですが、HTMLソースにそもそもコンテンツが出ていません。
そこでPHPを見てみたら、なにやら見慣れないJavaScriptが。
これをググってみて改ざんに気づいた次第です。
幸い(?)、iPhoneのほうはテーマのPHPが複雑なのもあり、そもそもエラーになっていて、このJavaScriptはHTMLに展開されていませんでしたが、通常ページのほうが問題です。
なお、改ざんされた時刻は3/16の23:44頃で、3/17の22:33には元に戻しました。
すべてのソースをgrepでチェック済みですし、サイトもSucuri SiteCheckで安全確認済みです。
改ざんされたのはテーマのPHPだけが狙われているということで、おそらくWordPress関連の脆弱性だと推測しつつ、アクセスログを見てみるとこんな記録が。
static-72-94-191-***.phlapa.fios.verizon.net – – [16/Mar/2012:23:44:07 +0900] “GET /wp-content/plugins/wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1” 200 14560 “-” “Mozilla/5.0 (Windows)”
(念のため、アクセス元の一部を伏せておきました。)
停止中だったプラグイン「WP-phpMyAdmin」の脆弱性を突いたというわけです。
他のブログでも同様の被害が出ているようで、早めに気づいておけば良かったのですが…。
停止中だったというのと、常に最新状態を保っていたので、ちょっと油断していました。
ということで、停止中のプラグインやテーマはなるべく削除し、必要最小限の状態にしました。
念のため、この状態でバックアップも取って、しばらくはこまめに監視したいと思います。
なお、付加されたコードはまだ詳細に解析できていませんが、おそらくこちらに記載のものと同じだと思われます。
複雑に難読されたコードもやってることはfile_get_contentsで攻撃コードを取りに行って出力…というものでした。
ということでしたので、Webブラウザの脆弱性に問題がなければ、最悪、ブラウザをハングさせる程度だったかと思われます。
ただ、攻撃コード次第でもありますので、大変お手数ですが、ウィルススキャンなどの実施をよろしくお願いいたします。
いつもご覧頂いている方には大変ご迷惑をおかけしました。
この場を借りまして、お詫びとさせていただきます。
(当サイトでは、Amazonアソシエイトをはじめとした第三者配信のアフィリエイトプログラムにより商品をご紹介致しております。)
