ハッキングされていました(;´Д`)

webには疎い私の戯言として参考程度に読んでほしい感じです。

ここ最近サイトが閲覧できないという報告がありました。WordPressの管理画面はかろうじて入れてもダッシュボードから先に行かない。どうやら403エラーを吐いている様子。

403を吐く場合はパーミッションの設定ミス、プラグインが対応していない、.htaccessの記述がおかしいのどれかですが、さっそく調べたところ前2つが原因ではない感じ。

念のためWordPressをクリーンインストールするも効果はなし。※サブディレクトリにインストールしてある

やはり.htaccessの記述ミスで上手くルートできていないのでは?と考え、開いたソースに見慣れない部分が…。

しかもリライトルールまで書き換わってるよ…。

さらに消しても書き直しても一定時間で元に戻ってしまうという有様。

結論を言ってしまうとハッキングされマルウェアを仕込まれ.htaccessが勝手に改ざんされるというオチでした。改ざんどころか下位のフォルダというフォルダに.htaccessが作られまくるという状況。そのせいで正しくphpを読み込めない状態だったようです。サイトの更新をさぼり、脆弱性を晒していた私が悪いのですがまさかこんなことに。

 

◆対策

詳しくはネット検索をすると同様の被害が多数報告されているのでそちらを参考にという感じです。→HTACCESSが改ざんされ管理画面へのアクセスが不可能になる

まずindex.phpが改ざんされており、文頭によくわからないコードに追加されていました。なのでindex.phpも削除。新しいindex.phpをアップしました。さらに作成した覚えのない怪しいphpファイルやフォルダも恐らくファイル名を偽装したマルウェアなのですべて削除。※ソースを開くと怪しい文字列で埋め尽くされてるので一目でわかります。

たぶん、これをしないと.htaccessどんなに直しても勝手に改ざんされてしまいます。※.htaccessのみ修正したところ、一時的にWordPressが無事機能するようになったのですが、しばらくすると再び403エラー。修正したはずの.htaccessがまた置き換わってました(;´Д`)

<FilesMatch “.(py|exe|php)$”>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch “^(about.php|radio.php|index.php|content.php|lock360.php|admin.php|wp-login.php)$”>
Order allow,deny
Allow from all
</FilesMatch>

つぎに.htaccessファイルの上記の記述を削除。特定の拡張子を拒否&特定のファイル名だけ許可、みたいな記述。さらに本来あるはずのない場所に作成されている.htaccessをすべて削除。不正な.htaccessはありとあらゆる全てのフォルダの深いところまで侵食しているので、マルウェア除去プラグインを入れるか、いっその事一旦サーバーをクリーンにしてWordPressを入れ直したほうがいいかも(バックアップは忘れずに)。

最後にWordPressもプラグインも最新版に更新。パスワードも変更。

今のところ.htaccessが勝手に置き換えられる現象が止まりました。なんとかサイトも正常に機能するようになり一応は復旧できました。ただ、バックドア仕込まれてる可能性もあるのでしばらく様子見。

画像などはいったんバックアップに退避して消してしまったので、暇を見て再アップロードします。しばしお待ちください。

 

 

 

仕事出す出す詐欺

仕事を出すという連絡をしつつ、いつまで経っても発注を出さない(最悪の場合、こちらが催促しても無視をするなど)業者が増えているため、下記の文面を「サイト概要」に追記せていただきました。こちらと致しましては、相手が「仕事を出す」と言った以上は、スケジュールを確保して待ちますが、それがいつになるかわからないようでは大変迷惑です。

単なる人員確保目的のメールはご遠慮ください。具体的な金額、納期が決まった状態でご連絡お願いします。諸事情で発注が出せなくなった場合においても、必ずその趣旨をお伝えください。連絡なき場合、スケジュール確保のために空いた損失を、後日損害賠償請求する可能性がございます。

また、最後の連絡から1か月以上待っても発注(金額や納期)を出さない場合は一方的にキャンセル扱いとさせていただきます。