私もみなさんと同じ状況です。
・ロリポップ×wordpress
・HPが真っ白になり、タイトルバーが「Hacked by Krad Xi」
・管理画面も文字化けし、見知らぬ新規ユーザーが2つログインしていました
こちらのフォーラムを参考に対処した事
・文字化け直す
・見知らぬユーザー削除
・新規ユーザーを作成しもともとの管理者ユーザーを削除
・プラグイン停止
・ウィジェット削除
・タイトル変更
・テーマをデフォルトにしてから戻す(ウィジェットは削除されたまま)
これで一旦は直りました。
ウィジェットの中身は下記のものでした。
<script>document.documentElement.innerHTML = unescape('');</script>
あれから3時間ほどして、サイトが文字化けしておりました。
表示のUTF-8にすれば見えますが。。。
とりあえず現状とウィジェットの中身を照会します。
Lolipop からの公式回答がありました。
【重要】WordPressをご利用のお客様へ / 新着情報 / お知らせ – レンタルサーバーならロリポップ!
http://lolipop.jp/info/news/4148/
【1】IDとパスワードは10桁以上のランダムな英数字などの
特定されにくい文字列に設定してください
【2】wp-login.phpへのアクセス制限を実施してください
とのことですので、Hack-dbを見てもログイン画面へアクセスさせないようにすることが、一番の近道かもしれませんね。
公式回答も見ましたが、ハッカーが説明した手法を防ぐにはwp-config.phpのパーミッションの設定が最も重要だと思います。もちろん、パスワードの強化、管理画面へのアクセス制限も効果はあります。
>hissyさん
貴重な情報の数々、本当に助かります。ありがとうございます。
パーミッションを確認したところ、キチンとなってなかった(=理解してなかった)ので修正しました。
◆.htaccess → 644になってたので604に変更
◆wp-config.php → 444になってたので404に変更
なお、.htaccessは今朝方、何者かによって改ざんされたようです。元に戻しました。
ロリポップ公式でWAFをすすめているので補足。
WAFを有効化することでCMSが期待通りに動かない(403エラーになる)場合は、
こちらの記事を参考に設定してみてください。
ロリポップでWordPressを使っていてWAFの誤検知が出るときの対処法
http://blog.hash-c.co.jp/2012/12/how-to-protect-your-wordpress-on-lolipop.html
どうやら対処してもすぐに元の【Hacked by…】に戻って文字化けしてしまう症状、テーマの変更が反映されない症状は私だけのようですね。
マルチサイトで運営していたことが何か関係しているのでしょうか。
不思議ですが、あれほど直しても直しても文字化けが戻っていたのに、夜になって無事に表示されるようになりました。
異常だった管理画面の動きも元に戻りました。特になにもしていないのに…
とりいそぎ皆様のアドバイス通りの対策をしてみます。
とりあえず再インストールはしなくてよさそうで安心しているのですが。。
【ロリポップ!をご利用中のお客様へ】
ロリポップ!公式アカウントです。
現在、ロリポップ!サーバー自体に対するハッキングの事実はございません。
お知らせにも掲載させていただいておりますとおり、
WordPress のログイン ID とパスワードに脆弱な文字列を使用している場合に、
管理画面へ不正にログインされる事例を多数確認しております。
不正利用を防ぐため、お知らせに掲載している対策を必ず行っていただきますよう
お願いいたします。
ご自身でWordPressのIDやパスワードの設定変更などを行っていただくことが、
お客様のサイトを守ることにもつながりますので、
引き続き、ご協力をお願いいたします。
>riku1014132さん
なお、.htaccessは今朝方、何者かによって改ざんされたようです。元に戻しました。
パーミッション変更でとりあえずグループから変更されることは無くなったと思います。差し支えなければどのように変更されていたのか教えていただけますか。
>kajitaniさん
再発生したら教えてください。
>lolipopjpさま
当フォーラムでの注意喚起、ありがとうございます。正しい情報をユーザーにお伝えするのには協力させていただきます
【ちょっと続報】ウィジェットにこれが入ってると確かにサイトが真っ白に。まあ、当たり前なんだけど…
<script>document.documentElement.innerHTML = unescape('');</script>
Javascriptでbodyタグの中身を消してるだけなので、ブラウザでJavascriptをオフにすればサイトは見えます。ウィジェットでコレが入っていたら消すように。
なぜ文字コードをUTF7にしているのかは専門でもないのでちょっと調べただけでは分からず。XSSがあるらしいが。ウィジェットにこのスクリプトを入れるためかと思ったけど…
Facebookにハッキングされたサイトのリストがありました
https://www.facebook.com/BDGREYHATHACKERS/posts/230160220465857
>hissyさん
>差し支えなければどのように変更されていたのか教えていただけますか。
以下の1行だけ、そっくりそのまま削除されており、あとの全行は変化なしでした。
RewriteCond %{REQUEST_FILENAME} !\.(xml|xsl|js|css|jpe?g|png|gif|ico)$
はじめまして。
先週WordPressサイトの改ざんのトラブル対応をしたんですが、wp-configのパーミッションを404に、管理画面のID,PWも、それぞれ10桁、16桁の英数記号交じりにしたにもかかわらず、今回のHacked by Krad Xinの被害に遭いました。
当該サイトのロリポップへのファイル転送をFTPでやっていた人が過去にいたとしたら、
そこの穴も疑わしいかと思います。
今回、テーマによってはサイトの表示、ダッシュボードへのログインができない場合があります。mb_regex_encoding()を呼んでいる箇所があると、_optionsテーブルのcharsetの値がUTF-7だとこの行でエラーになります。
例)functions.phpでの記述
if function_exists('mb_regex_encoding'))mb_regex_encoding(get_bloginfo('charset'));
=>一旦この行をコメントアウトしてダッシュボードにログインし、「一般」-「表示設定」で「UTF-7」を「UTF-8」に戻しました。
(補足)前回の改ざんケース
前回対応した改竄内容は、無数のPHPファイルにbase64エンコードされたリダイレクト文が埋め込まれるというものでした。もし同じ改竄者によるものだとしたら、この時の症状は、Yahooの検索結果から自サイトに飛ぶと、詐欺サイトにリダイレクトされるというものでした。普段自サイトにYahooから飛ぶことは無いと思うので、念のために確認してみてください。
私の方で、確認できたのは、改ざんや書き換え等が行われた、あるいは痕跡が残っていた分だけで、合計200サイト、3ISPでした。(他にもあるかも判りませんが、国内分でHackされてウェブあるいは、PHP等のスクリプトが明らかに書き換えられていると思われる分のみの集計です。
IPアドレス単位では、計12IPと、範囲が狭いことから、IP単位でshellが奪われている可能性も捨てきれませんけど、全てWordPressを使用している所ばかりのようでしたので、WordPressの脆弱性か、あるいは.htaccess あたりのパーミッションの甘さからつけ込まれたのかもしれません。
まあ、いずれにしても、ここでもWordPress使っているんですけど、WordPress使っている人達は、まちがえても、.htaccess や、wp-config.php のパーミッションユルユルにしないように気をつけてください(;´Д`)。
特に.htaccessのパーミッションゆるいと、サーバにもよるんですけど、かなり危険です。
