.htaccessが改ざんされる

シェアする

先日、自分のドメインでWordPressを運営している別サイトを、iPhone表示で見るためiPhoneで開いたら別のURLにリダイレクトし「ウイルスに感染しています」のようなメッセージのページが表示されました。
噂には聞いていましたが、でもこのサイトは昨日もPCでチェックしたばかりだな…
と思いつつ、まずはPCでこのサイトを開いてみました。
すると正常に表示されました。

それからそのサイトの.htaccessを調べてみると、なるほど…

PCでチェックできなかったわけですね…

PCからアクセスしたときには通常表示するが、それ以外のUserAgentのパターンを大量に書いて、そのUserAgentで訪問した場合「hogehoge.ru」というサイトにリダイレクトする、という記述になっていました。

.htaccessの不正アップロードに遭いました。

取り急ぎ

  • ローカルのFTPソフトをアンインストールしてレンタルサーバーのFTPパスワードを変え、
  • ドメインのネームサーバーを別のレンタルサーバーに振り向け、
  • その別のレンタルサーバーにWordPressを設置して
  • 事前にローカルでバックアップを取っていたxmlとメディアをインポートし、

まずはサイト移転を完了。

続いて感染WordPressのレンタルサーバーのファイルマネージャーでレンタルサーバー内のアップロードファイルを調べたところ、.htaccessがアップロードされた日付は4日前となっていました。

.htaccessがアップロードされたその4日前のおよそ10日ほど前に、そういえばこのサーバーから主要なWordPressサイトをいくつか転出させてました。
そのとき転出させたサイトの残存WordPressは削除しました。

しかし、残したWordPressサイト(今回改ざんをうけたやつ)にはいくつかプラグインを管理画面から新規追加し新規にローカルにFTPソフトをインストールしてWEB上にあった公式ではないテーマファイルをZIPでアップロードしてました。

となると、改ざんを受けた原因の選択肢は

  1. ローカルのFTPソフトからFTPパスワードが洩れた
  2. ZIPでアップロードしたテーマファイル
  3. 管理画面から新規追加したプラグイン

となります。

うち3番は、WordPress公式に入っているプラグインには不正コードが仕込まれている可能性が低いと思うので、除外します。

1番は、パスワードを平文で保存していないといわれているFTPソフトなのにくわえ、過信するわけではありませんがローカルPCやルータのファイアウォールに加え自宅にUTMまで設置しているというレベルです。

HP Proliant ML115 G1にSophos UTM Home Editionを導入してみた
ご無沙汰しています。 このブログではこれまで、古いものをカスタムして本来の機能を超えた能力が発揮できる、という喜びを何よりのモチベーシ...

これでやられたらほかに手立てはないかと。