WordPress.org

日本語

フォーラム

サイト改ざん?


  • angedeverre
    メンバー

    @angedeverre

    サイトが急に文字化けになり、困っております;;
    Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか?

    私の環境です。
    PHP:バージョン3.4.9 MySQL:バージョン5.1.34
    MySQL の文字セット:UTF-8 Unicode
    使用しているブラウザ名称とそのバージョン (Windows XP Internet Explorer 8)
    WordPress 3.6 を使用中
    使用テーマ http://www.dessign.net/ultra-grid-theme/
    Ultra Grid Themeを利用しています。
    http://angedeverre.info/ 私のサイトです。
    (世話役追記:改ざんされた可能性のあるサイトです。アクセスされる方は十分にご注意ください。)

    直すための参考になるページなどありましたら教えてください><

    宜しくお願いいたします。

15件の返信を表示中 - 1 - 15件目 (全138件中)

  • 熊本地震浮浪者
    参加者

    @digitmaetel

    使用テーマは公式からのものでしょうか。
    WordPressでのテーマチェック、ウイルスチェックを行われましたか。

    管理画面内にログイン出来るようでしたら、
    不審な登録ユーザーがないか、確認。
    プラグインを全部向こうにして、デフォルトのテーマに戻してみて下さい。

    また、サーバーもどちらかどうサーバーユーザーへの注意喚起のためにわかるとよろしいかと存じます。


    ADRED
    メンバー

    @adred

    IEのエンコーディングをUTF-8に変更して管理画面にログインできませんか?
    管理画面の「設定」で文字コードが「UTF-7」に変更されているようであれば、
    それを「UTF-8」に戻すことでとりあえず文字化けは解消されると思います。
    合わせて身に憶えのない怪しげなウィジェットがあれば削除してください。

    参考サイト
    http://wordpress.org/support/topic/website-repeatedly-hacked


    angedeverre
    メンバー

    @angedeverre

    お返事ありがとうございます!

    ADRED様が教えてくださった参考サイトの状態と同じでした。
    UTF-7に変更されていたので設定からUTF-8に変更して文字化け改善することができました。
    一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました。
    上部の黒のツールバーのサイト名が元に戻りました。
    ウィジェット部分のテキストが削除されていて、新たなコード付きのテキストが追加されていましたので削除することで元に戻りました。

    サーバーはロリポップを使用しています。
    メール連絡をしまして現在返答待ちです。
    不審なユーザーはいませんでした><


    Takuro Hishikawa
    世話役

    @hissy

    ハッキングされて改ざんされたことは確実だと思います。ハッカーの犯行声明リストにあなたのサイトが載っています。「R.I.P lolipop part 1」とコメントされているので、おそらく今後もPart2以降でロリポップにインストールされたWordPressへの攻撃を継続する予定なのかもしれません。十分にご注意ください。他の改ざんされたサイトを幾つか確認しましたが、複数のWordPressのバージョンがありテーマもバラバラ(オリジナルを含む)なので、WordPressの特定のバージョンの脆弱性や特定のテーマの脆弱性をついたものではないようです。また、他の改ざんされたサイトのセキュリティチェックをかけてみましたがマルウェアの感染リンクの埋め込みなどは見られず、ハクティビストによる犯行のようです。


    kajitani
    メンバー

    @kajitani

    私のサイトも同じハッキングの被害にあっています。
    同じくサーバーはロリポップです。

    ・UTF-7に変更されていたのをUTF-8に変更
    ・一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻した
    ・ウィジェット部分のテキストを削除

    上記をしましたが、以下のような警告文がサイト上部に表示され、
    Warning: htmlspecialchars() [function.htmlspecialchars]: charset `UTF-7′ not supported, assuming iso-8859-1 in /○○○/wp-includes/formatting.php on line 2751

    さらに数分するとまたサイト名が【Hacked by Krad Xin】に戻り、
    テーマの変更なども動作がおかしいです。

    マルチサイトで運営しており、このハッキングされたサイトが親サイトなのですが、
    やはりwordpressを再インストールするしかないのでしょうか…
    サーバーもロリポップではまだ危険が続くと考えておいたほうがいいでしょうか?


    Takuro Hishikawa
    世話役

    @hissy

    > 数分するとまたサイト名が【Hacked by Krad Xin】に戻り、

    非常に重要な情報です。データベースが書き換えられただけかと思いましたが、戻るということはPHPが設置されている可能性もあります。とりいそぎコアファイルが改ざんされていないか確認していただければと思います
    http://ja.forums.wordpress.org/topic/2743

    > やはりwordpressを再インストールするしかないのでしょうか…
    > サーバーもロリポップではまだ危険が続くと考えておいたほうがいいでしょうか?

    今のところなんとも言えませんが、再インストールはあまり意味がないと思います。ロリポップが狙われたのかはまだ分からないので原因が別であれば引っ越しても同じことです。


    熊本地震浮浪者
    参加者

    @digitmaetel

    こちらにリストアップされている攻撃を受けたサイト。
    http://www.hack-db.com/hacker/Krad_Xin/all.html

    いくつかアクセスしてみました。
    文字化けしているのよりログインページをハックされてしまっているのが多いようですね。

    (世話役追記:改ざんされた可能性のあるサイトが掲載されています。アクセスされる方は十分にご注意ください。)


    Takuro Hishikawa
    世話役

    @hissy

    あ〜、URLは控えたんですけどねぇ…。ハックされたリンク先が安全である保障はないので、クリックされる方は十分にご注意ください。


    熊本地震浮浪者
    参加者

    @digitmaetel

    hissy さん
    お気遣いだとは思ったんですが、申し訳ありません。

    興味本位は危険含みですが、検索でも随分とあります。
    バックアップから対策済みのサイトだと思えるもの。
    気がついていないのか、
    あるいはハッキングに気が付かないで孤軍奮闘しているかとおもいます。
    そうしたサイトオーナーからの情報が集まればと思います。

    ※わたしはリンクのクリックを避け、URLだけを直打ちでアクセスしてどういう感じなのか観てみました。


    angedeverre
    メンバー

    @angedeverre

    改ざん前のワードプレスは最新バージョンで
    管理者名はadmin以外の名前、パスワードも長めに設定していました。
    ロリポップの自動インストールを使用してワードプレスを立ち上げています。
    接頭辞はwp_数字となっています。

    改ざんにあってからサイトの管理者名の変更、パスワードの変更、FTPのパスワードの変更、
    ロリポップのログインパスワードの変更を行いました。
    FTPとロリポップのパスワードがロリポップからはじめに送られてきたパスワードのままでした^^;凄く反省しております。

    現在ロリポップに現状を問い合わせています。

    今後セキュリティー対策としてどのような事をしたら良いのでしょうか?
    一度ハッキングにあったサイトは次回も狙われやすいのでしょうか?
    接頭辞は変更した方が良いのでしょうか?


    eott
    メンバー

    @eott

    私のサイトも管理画面が文字化けし、Hacked by Krad Xinと黒の上部ツールバーにあります。

    普段はChromeを使っているのですが、いまFirefoxで確認をしたところ文字化けは解消されていました。
    しかし、Hacked by Krad Xinと黒の上部ツールバーにある状態は変わりません。

    いかんせん、知識がないので、まず最初にとっておきべき対策などをご教授いただけると幸いです。
    よろしくお願い致します。


    gatespace
    世話役

    @gatespace

    ※このスレッドを見た閲覧者がハッキングされたサイトへのアクセスを防ぐため、該当しそうなリンクは全て削除します。(テキストとしては残します)
    ご了承ください。

    以降、情報を提供される際はリンクが張られないよう URL を codeボタンで囲むなど、ご配慮ください。


    熊本地震浮浪者
    参加者

    @digitmaetel

    gatespace さん
    お手数かけました。申し訳ありません。

    被害にあっているのはロリポップに集中しているのか、共通点を知りたいところです。


    kajitani
    メンバー

    @kajitani

    hissyさんありがとうございます。

    上記の方法でExploit Scannerを試してみましたが、
    an error occurred. please try again later.
    と表示されうまく動作しませんでしたので、Wordfence Scanというプラグインを試してみました。

    エラーが出たファイルは以下の通りです。
    Wordfence found the following new issues on “Hacked by Krad Xin”.

    Alert generated at Wednesday 28th of August 2013 at 05:07:53 PM
    Critical Problems:

    * WordPress core file modified: readme.html
    * WordPress core file modified: wp-config-sample.php
    * WordPress core file modified: wp-includes/version.php
    * File is an old version of TimThumb which is vulnerable.

    Warnings:

    * Modified plugin file: wp-content/plugins/all-in-one-seo-pack/aioseop_class.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.4.2.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.4.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.1.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.2.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.php
    * Modified plugin file: wp-content/plugins/redirection/models/pager.php
    * Modified plugin file: wp-content/plugins/redirection/models/redirect.php
    * Modified plugin file: wp-content/plugins/redirection/readme.txt
    * Modified plugin file: wp-content/plugins/redirection/redirection.php
    * Modified plugin file: wp-content/plugins/redirection/view/admin/group_list.php
    * Modified plugin file: wp-content/plugins/wp-pagenavi/readme.txt
    * Modified theme file: wp-content/themes/birdsite/editor-style.css
    * Modified theme file: wp-content/themes/birdsite/functions.php
    * Modified theme file: wp-content/themes/birdsite/header.php
    * Modified theme file: wp-content/themes/birdsite/images/headers/buna.jpg
    * Modified theme file: wp-content/themes/birdsite/images/shadow.gif
    * Modified theme file: wp-content/themes/birdsite/index.php
    * Modified theme file: wp-content/themes/birdsite/single.php
    * Modified theme file: wp-content/themes/birdsite/style.css

    すみません、よく分からなかったのでエラーメッセージをそのまま掲載します。


    Takuro Hishikawa
    世話役

    @hissy

    eottさんもロリポップですか?

    1. 文字化けを戻す
    [ダッシュボード→設定→表示設定]画面で文字コードをUTF-8に戻す

    2. サイト名を戻す
    [ダッシュボード→設定→一般]画面で「サイトのタイトル」をもとに戻す。キャッチフレーズも変わっているかも

15件の返信を表示中 - 1 - 15件目 (全138件中)
  • トピック「サイト改ざん?」への新規返信追加は締め切られています。