CG
(@du-bist-der-lenz)
ECサイトのみページも管理画面も入れないのは、「迷惑メールが配信された疑いがあり」緊急措置として該当ファイルのパーミッションを“000”に変更することにより、実行を一時的に制限されたからです。
パスワード変更は、オーナー・アカウントと、ショップ管理者で行います。
しかしながら、それは第一手であり、ここで、サイト運用回復のために、早速に行う重要ごとは不正アクセスの特定です。
ログインパスワードは、データベースに書き込まれているので管理画面に入れなければ書き換えできません。
phpMyAdminでデータベースにアクセスできるならば、phpMyAdminでパスワードを変更することができます。
npssl (@npssl)さま
Du bist der Lenz (@du-bist-der-lenz)さま
ありがとうございます。
phpMyAdminはいれます。まだデータベースありました。
すみません、動転していてパスワードの変更の仕方が
分かりません。
教えていただけますか?サーバ会社からphpMyAdminに
入っています。
phpMyAdminからパスワードを変更することでWordPressの
管理画面に入るパスワードも一緒に変更されるのでしょうか?
———————————–
Du bist der Lenz (@du-bist-der-lenz)さま
オーナー・アカウントと、ショップ管理者とはなんでしょうか?
サイト運用回復のためには、まずファイルを正常に戻して、
いえ、正常に戻している途中にパスワードを知っている
人物がまた入り込んで邪魔をされるので、先に
とにかくパスワード変更と思ったのです。
それから不正アクセスの特定と考えたのですが。
どうぞお返事お待ちしております。
お願いします。
あ、すみません、リンク貼っていただいてました。
やってみます。
ありがとうございます。
npssl (@npssl)さま
すみません、
phpMyAdminのWP_usersの表示にユーザーが二つあります。
1は自分です。
2がwp.service.controller.wxyzとなっています。(wxyzは書き換えました)
登録日は0000-00-00です。
これは削除しても大丈夫ですか?これが犯人ですか?
本当にすみません、よくわかっていなくて。
よろしくお願いいたします。
まずは落ち着いてください。
そのうえで、記事を読んでください。
リンク先の記事以上にわかりやすく説明するなんて、私には無理です。
そして、あなたが管理者であるサイトのユーザー数なんて私にはわかりません。
-
この返信は7年、 10ヶ月前に
npsslが編集しました。
ありがとうございます。
とりあえず、自分の1番目のパスワードを変更しました。
どなたか、2番目のuserが誰なのかお分かりでしたら
教えてください。
CG
(@du-bist-der-lenz)
複数サイトを作成され、ECサイトも運用されているのでログは監視されていることでしょう。サイトのパスワード変更はサイト検索で情報が得られるほど、あけっぴろげなので、それは進めていく一方。
「正常に戻している途中にパスワードを知っている人物がまた入り込んで邪魔をされるの」は、経路がいくらもあり、現在行ってもすぐに再発することも考えに入れておきましょう。
ありがとうございます。
なるほど。
直近のポストはかなり具体的です。
ユーザーを削除するだけではなく
勝手に作られたDBやサイトマップも削除、
全てのパスワードを変更とありますが
これだけ入り込まれると、見落としとか
あるかもしれないので、全て削除するしか
ないかもしれないですね。
でも、DBやファイルは日付を見て削除するのでは
だめかしらと思います。
とりあえずユーザーを削除します。
どうもありがとうございました。
こんにちは
日付を見てではなく、マルウェアを駆除するツールもいろいろあるようですが・・・
例えば以下のリンク先で紹介されているようなものなど。
http://officehit.biz/safe3506
でも、どこまでやれば安心というものはないので、ご自身で判断されるしかないと思います。
あと、復旧された後にも、一連のパスワード変更やセキュリティアップデートの適用、セキュリティを高める機能やプラグインの利用などなさってください。
munyagu (@munyagu)さま
ありがとうございます。
マルウェア削除ですね。
なんでもやってみます。
さくらでは全部インストールしなおせと言ってますが
できれば避けたいです。
本当に、バックアップも取ってなかったし、パスワードは
そのままでした。やっぱりパスワードを読まれたのでしょうか。
セキュリティはJetPackと他にも入れていたと思いますが
これではどお?というのがありますでしょうか。
ご教示いただければ幸いです。
お心のこもったアドバイスありがとうございます。
😉
CG
(@du-bist-der-lenz)
「迷惑メールが配信された疑いがあり、全部インストールしなおせ」とサーバーが言っているのは、踏み台にして大量メールが送信されていてサーバーに負荷がかかっているため、「000」にしてサイトを停止したものと思います。
パソコン、モバイル内のマルウェア削除は懸命です。Wi-Fi経由でサイトアクセスしたことはなかったでしょうか。パスワードの変更は、わたしは毎月行っています。タイピングを監視されることもあるので、あまりにもパスワードっぽいものは使用しないで、普段良くタイプしている平易なものを使っています。
それでもサーバーが直接攻撃を受けて、画像ファイルに偽装したマルウェアファイルが見つかることもあり、WordPressの大きなバージョンアップの時は、全部入れなおしています。
セキュリティのプラグインでは、ログイン通知が届くようにしています。
パスワードはそのままでした、とのことですが、最近ではパスワードを定期的に変更することはかえって危険、という流れになっています。
https://the01.jp/p0002383/
堅牢度の高い(長い、複雑な、それまで一度も使ったことのない)パスワードに定期的に変更するのなら意味があると思いますが、覚えられないからと言って変えるたびにモニターに付箋を貼っていては意味がないですし・・・システム全体の堅牢度を高めることに労力を使った方が効果は高いのだろうと思います。
さくらでは全部インストールしなおせと言ってますが
できれば避けたいです。
この話に深く関わるつもりはないので軽く振れるだけですが……
コードが改ざんされている可能性を考慮すると最低限WPのコアとインストールしている全プラグインは一旦削除し再インストールし直すべきですね。(wp-config.php, wp-content/uploads以下はバックアップを別途取る)これだけでデータが消えることはありません。
しかし、プラグインが脆弱性を持っていたりDB内に問題のデータが有り、これがプラグインの脆弱性を突いていると仮定すると不十分すぎますが。
(プラグインは何らかの設定をしていない限りデフォルトでは自動更新されません。仮に脆弱性が修正されていたとしてもそれが更新されていなければ適用されていない、なんて場合もありますね。)
…… uploadsディレクトリ以下に実行可能なファイル(php, cgi 等)が存在していれば(もしhtmlもphpとして実行するようにしていればもちろんそっちも)それは要除去ですよね。
そもそもこのケースではさくらが原因を突き止めてパーミッションの変更をしてくれているようなので「それが何か」がそもそも大事になりますが。