サポート » その他 » 【改ざん】index.phpが書き換えられる

  • kon

    (@kyota-konno)



    ルートにあるindex.phpが定期的に書き換えられて(改ざん)困っております。
    対策があればご教授をお願いいたします。

    ●内容
    ・index.phpの「Front to the…」コメントアウトの上に身に覚えがない@includeが挿入されている。

    
    /*d1dff*/
    
    @include "***";
    
    /*d1dff*/
    
    /**
     * Front to the WordPress application. This file doesn't do anything, but loads
     * wp/wp-blog-header.php which does and tells WordPress to load the theme.
     *
     * @package WordPress
     */
    

    ・includeのパス(***となっているところ)はUnicode(UTF-8)でエンコードされている
    ・パスの格納先は**/wordpress-3.5-ja-jetpack-undernavicontrol/wp-admin/css/favicon_893e05.ico となっている ※**は割愛
    ・wordpress-3.5-ja-jetpack-undernavicontrol のディレクトリ名は知らない(検索しても存在しない)
    ・wp-admin/css/favicon_893e05.ico は実際にファイルがある
    ・favicon_893e05.ico をテキストエディタで開くと中身はPHPファイルだった。そして暗号化(難読化)してあるため、内容が理解できない
    ・実際の画面への影響はないと思われる。 がとても気持ち悪いので対策したい

    ●対策した内容
    ・index.phpのパーミッションが755になっていたので604に修正 ⇒ だが、勝手に755に変更されてしまう
    ・wordpressの「admin」アカウント削除
    ・CMSのログイン画面は.htaccessで海外IPを弾く
    ・ftpアカウントのパスワード変更
    ↑色々やってみたのですが、定期的にファイルを改ざんされてしまいます。。。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • CG

    (@du-bist-der-lenz)

    お名前.com の共用サーバーを利用していて、ワードプレスをビルドしたのがバージョン3.5の時にJetpackと同時インストールしたことが、「wordpress-3.5-ja-jetpack-undernavicontrol」に読めますが違いますか。
    そして割愛した**にはIDがあるわけです。

    「ブラウザハイジャック」などと呼ばれているコードインジェクション攻撃を受けていたということでしょう。サーバーを踏み台にしてマルウェアの拡散に加担しているので、サイトを閲覧してもらって相談するよう行為のないことを願います。
    「favicon_893e05.ico をテキストエディタで開くと中身はPHPファイルだった。」だったことからもサーバーが支配下になっていることが明らかでしょう。

    kon

    (@kyota-konno)

    CGさん

    さっそくご回答ありがとうございました。

    はい、お名前.comの共有サーバーを利用しています。

    > ワードプレスをビルドしたのがバージョン3.5の時にJetpackと同時インストールしたことが、「wordpress-3.5-ja-jetpack-undernavicontrol」に読めますが違いますか。
    ⇒記憶が不確かですが、恐らくその頃にjetpackをインストールしました

    どのように対処すればいいか現状分かっていないのですが、今 管理画面のWAF設定をみたら、色々攻撃されているっぽいので、これらを対処していきたいと思います。。

2件の返信を表示中 - 1 - 2件目 (全2件中)
  • トピック「【改ざん】index.phpが書き換えられる」には新たに返信することはできません。