昨日からなんか急にアクセスが落ちてるんなあ、とおもってたら、サイトのリンクが変なとこに飛ばされているではないか!

クリックすると変なサイト(http://g0od.ru/uz/)に飛ばされてこんなメッセージが


SERVER IS LOCKED. Tech. support: linecity@inbox.ru

なんか書き換えられたのかなぁ、と思って調べてみると、

ディレクトリ直下に以下の見慣れないファイルが?

mail.ru.php
main.page.php

WordPressのインストール時にははないファイル。

中を見るとリダイレクトされたURLの記述が出てきた。



http://g0od.ru/uz/index.php


.htaccessの中も見てみるとこんな感じでエラーの時にリダイレクトされている。


RewriteBase /
RewriteEngine on
RewriteCond %{HTTP_REFERER} .*spamcop.*
RewriteRule ^(.*)$ http://www.spamcop.net/ [R=301,L]

ErrorDocument 400 http://g0od.ru/uz/
ErrorDocument 401 http://g0od.ru/uz/
ErrorDocument 403 http://g0od.ru/uz/
ErrorDocument 404 http://g0od.ru/uz/
ErrorDocument 500 http://g0od.ru/uz/



上記2つのファイルは削除して.htaccessはほかの正常動作しているファイルと差し替えてみた。

他にもなんか怪しいところはないかとプラグインのディレクトリを見てみたら

zdaighclomx

というファイルが差し替わったのと同じ時刻にインストールされたプラグインが!

このプラグインも関係しているかわからんけどネットで検索してもプラグインの情報が全く出てこないという怪しさなのでこれも削除することに。

これでなんとかトップページが表示され管理画面も入れた。

ふう~。

パーミッションが書き込み可になってたという初歩的ミスも痛かったけど、

アクセスがゼロなら明らかにおかしいと思ってすぐ対処したんやけど、少なからずアクセスがあるもんやから油断してた。

トップページだけは(もしかしたら直リンも)表示されるので、そのアクセス分だけはログ解析に出てくるからサイトに問題有るとは思わなかった。

リンクをクリックして初めて気づいたよ。


追記 2012/11/19
その後ロリポップに問合わせのメール送ってたら返事が来てた。

その他にもまだ汚染されてたみたい。

調査の結果、サーバー上にまだ不審な記述が含まれるファイルが
あることを確認いたしました。

 ■不審な記述
 h**p://g0od.ru/uz/ を含んだ記述
 h**p://spoilt.ptds2.ru/TDS.post.php を含んだ記述
 ※アクセスできないようURLを一部変更しております。
 ※記述されているURLには絶対にアクセスしないでください。

 ■該当ファイル
 /cached/.htaccess
 /cached/main.page.php
 /cacheds/0.php
 /cacheds/.htaccess
 /db_upload/.htaccess
 /db_upload/main.page.php
 /gallery/.htaccess
 /gallery/push.php
 /index.main.php
 /main.page.php
 /rd.php
 /rq_db/view.php
 /rq_db/.htaccess
 /rq_db2/.htaccess
 /rq_db2/main.page.php
 /tmp/.htaccess
 /wp-content/.htaccess
 /wp-content/main.page.php
 /wp-includes/page.php
 /wp-includes/.htaccess
 /cacheds/main.page.php
 /mainn.php
 /tmp/main.page.php

お手数ではございますが、不審な記述や不審なファイルを
削除してくださいますようお願いいたします。



なお、不審な記述が挿入された件について調査したところ、
以下ファイルへのアクセスが影響しておりました。

 /db/wp-content/plugins/zdaighclomx/themesnj3.php
 /db/wp-content/plugins/zdaighclomx/gg.php


やはりこのプラグインが原因か~。


Wordpressによる改ざんが発生した場合は、以下対応を
全て行っていただくことをお勧めしておりますので、
以下対応を行ってくださいますようお願いいたします。

================================================
・サーバーにインストールされている全てのWordpressについて
 Wordpress自体・テーマ・プラグインが最新バージョンかどうか確認し、
 最新バージョンでない場合は更新していただく。

 ※公式ディレクトリ以外で配布されているテーマやプラグインは
  危険である可能性があります。
 ※提供元から長い間更新されていないプラグインは脆弱性の危険が
  高まっている可能性があります。

・ウィルス対策ソフトでPCのウィルスチェックを行っていただき、
 ウィルスやスパイウェアが確認された場合は駆除していただく。

・全てのWordpressについてログイン情報を変更していただく。

・もし利用されていないWordpressがサーバーに残っている場合は、
 お持ちのFTPソフトにてWordpressのデータを全て削除していただく。
================================================


ファイル削除と書かれていることは全部やっといた。

これでしばらく様子見ることに。

ロリポップ!の姉妹サービス「heteml」に、改ざんへの対策についてのページがあるのでココも一応目透しておくといいかも。

» レンタルサーバー「heteml」 – サイト改ざんへの対策をお願いいたします



Tagged with:
 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

Mercedes-Benz 230SL
壁紙(ミニカーシリーズ) サイズ:1920x1080 ジョージア メルセデス・ベンツ ダイキャストオープンカー / Georgia Mercedes-Benz Die-cast Open Car from「GEORGIA EUROPEAN-ジョージア ヨーロピアン-」キャンペーン
Mercedes-Benz 300SL Roadstar
壁紙(ミニカーシリーズ) サイズ:1920x1080 ジョージア メルセデス・ベンツ ダイキャストオープンカー / Georgia Mercedes-Benz Die-cast Open Car from「GEORGIA EUROPEAN-ジョージア ヨーロピアン-」キャンペーン
Mercedes-Benz SLS AMG Roadstar
壁紙(ミニカーシリーズ) サイズ:1920x1080 ジョージア メルセデス・ベンツ ダイキャストオープンカー / Georgia Mercedes-Benz Die-cast Open Car from「GEORGIA EUROPEAN-ジョージア ヨーロピアン-」キャンペーン

This is the "Callout Section"

Perfect for a call to action or a special offer.



UPDATE:2017/06/17
rfwbs-sliderfwbs-sliderfwbs-sliderfwbs-slide
PageLines