スパムメール?コメント?
コメントであれば削除出来ないと云う事はデータベースにアクセス出来ないと云う事ですが
サイト自体が表示するのであれば、それは無いと思います。
復旧してもらった後のデータベースのバックアップは取ってないのですか?
手っ取り早い方法としてphpMyAdmin等で現状のデータベースをエクスポートして
中身を確認すれば良いと思います。
投稿記事が存在しなければ悪意ある者に操作され削除された、
もしくはロリポップの復旧作業で一時的におかしくなっている可能性もあります。
尚、FTPのアクセス制限を設けたとしてもWordPressの管理画面へのアクセスには無関係です。
.htaccess等で管理画面へのアクセス許可ホストを制限しなければ狙われる確率は減りません。
windows-userさん、ご助言ありがとうございます。
自分なりに調べてみた結果、権限グループが管理者となっているのに、実際にそれが機能していないようです。
「新規投稿を追加」画面を開くと、投稿ボタンの位置に、「レビュー待ちとして送信」とあります。
スパムコメント以外のコメントも、削除できないようです。
復旧してもらった後すぐに「wp-dbmanager」バックアップを試みたのですが、バックアップに失敗するのです。アンインストールして再インストールしてもダメでした。前々回の「wp-dbmanagerでの復旧に失敗します」から進展していない感じです。
復旧時点でワードプレスの「エクスポートファイルをダウンロード」もし、先ほどそれをインポートしてみましたが、現状は変わりません。
少し気になったのが、似たような症状について書かれておられる下記サイトさんなのですが、
http://8bitodyssey.com/archives/769
データベースに入ると、固まって先へ進めませんでした。
そもそもそれ自体がなんだか異常な気がしますが・・・
データベースを削除せずに出来る復旧方法はないものでしょうか?
あ、すいません、.WAFは有効に変えていましたが、.htaccessの属性変更を、プラグイン再インスト時に忘れてしまっていました。ご指摘いただいて気づきました、ありがとうございます。現在直しました。
部外者の攻撃なのでしょうか・・・
連日踏んだり蹴ったりです…
データベースに入ると、固まって先へ進めませんでした。
そもそもそれ自体がなんだか異常な気がしますが・・・
ロリポップ側の様々な処理でサーバーが高負荷となっているのかもしれません。
前述しましたがphpMyAdmin等ででデータベースをエクスポートして
その中身を見れませんか?
非圧縮状態であればテキストエディタ等で表示可能です。
その中に過去に投稿した記事が存在すればデータベースは問題ないと思いますが、
記事が一つも無ければ問題です。
ご自身が何も操作せず復旧したものが存在しないのであれば、ここで質問するよりもサーバーのサポートに尋ねた方が良いように思います。
ここでは貴方の書き込みを元に憶測でしか助言できません。
サーバーの状態、ログも確認できません。
そもそも非は貴方にありません。
全てサーバー管理会社にあります。
貴方は知らない間に攻撃されて被害を被った被害者です。
あ、可能ならばFTPではなくFTPSを使いましょう。
何度もご親切にありがとうございます。なんだか泣けてきました…
phpMyAdmin内でF5を何度か押すと、表示されることに気づき、教えて頂いたようにデータベースをエクスポートして中身を見てみました。
過去に投稿した記事のタイトルが出てきました。
が、記事全文はありません。
システムが良くわからないのですが、タイトルや、記事の一部しか無いのは、問題あり、なのでしょうか?
昨日復旧した後、気合を入れて外観を変えていたのですが、投稿画面やプロフィール画面は触っていません。
他にしたことと言えば、プラグインを2つばかり入れて有効化した位です。勿論公式から落としています。
記事だけ全部消失するようなミスをした自覚はありません。
アドバイス頂いた通り、ロリポップのサポートに問い合わせしてみます。
初心者に優しいFFFTPを愛用していましたが、それでは攻撃を防げないのですね。
FTPS、調べて使うようにします。
先日からのトラブルからの復旧。
yurika さんの状況見守っています。
ずっと気にかかっていたことですが、
ハッキングの前、8月27日の時点に戻したいということでしたが、
その時はすべての投稿は確認できていたのでしょうか。
また、lolipopがサルベージしたデータベースはいつの時点のデータベースだったのでしょう。
ハッキング事態はそれ以前に行われていた可能性があります。
ハッカーグループのFacebookには8月20日以前の報告も出ていたと思います。
8月初めには仕込みが始まっていたと推定しています。
ハッキングを受けているかどうかは、スパムメールのきかたからも感じ取れます。
わたしはlolipopは使っていませんが、昨年5月17日の日付で改ざんを仕込まれた痕跡がありました。
ただ20以上のサイトを置いていながら、ショップサイトなど普段からスパムが多かったサイトだけがアタックを受けていたようです。
ハッキングコードが半分で終わっているのが多いので、途中で遮断されたようでした。
digit@maetelさん、先日からありがとうございます。
昨日、ロリポップさんにデータベースを8/27朝7時30分時点に戻してもらいました。その後こちらで親切な皆さんに教えてもらいながらブログを復旧した時には、完全復活だったと思います。
記事数も全部ありましたし、10記事程ランダムに選択して読んだのですが、皆完全な状態でした。プラグインも見る限りはぬかりなく動いていたように思います。
サイトは1つですし、ショップサイトではありません。ただ、ランキングに登録していまして、中カテゴリで10位圏内だったので、カテゴリ内では上位だったと思います。(関係ないかもですが)
今、phpMyAdminを眺めていたら、ちょっとおかしなことに気づきました。
「”wp_posts” 」が無いのです。
無いなんてこと、あるのでしょうか…
昨日9/3の14:00頃までは、確かに記事は生きていました。
その後、削除はしていません。phpMyAdminにも入ってすらいません。
「”wp_posts” 」がなければ、やっぱり問題ですよね…
何故、何故、がぐるぐる頭を回ります。
コードには詳しくないのですが、フォーラムで話題に上がってたヘッダーのPHPに怪しいところがないのは確認しました。
皆さんが助けて下さって、なんとか心を折れずにいられます。
本当にこういった場所があって、そして親切な方がいて下さってよかったです。
ロリポップさんには問い合わせをしましたので、その連絡を待ってみます。
見守ってくださってありがとうございます。
お邪魔します。(o*。_。)oペコッ
確認なのですけど、ロリポップ様に復旧して頂いてから、管理画面にログインするパスワードは変更されましたか?
データベースのパスワードはロリポップ様で変更されているのですけど、管理画面にログインするパスワードは自分で変更しないと、改竄時にパスワードハックされている可能性もあります。
そうすると何度も狙われることにもなり兼ねませんので念のため。
(o*。_。)oペコッ
綾さん、いつもありがとうございますTT
WPの管理画面にログインするパスワードは、復旧後、数時間してから変えました。…
遅すぎたのでしょうか…危機感がなかったことに反省です。
再度、データベースのパスワードを変えておきます。
現在までにやったセキュリティー対策作業は以下です。
■フォルダ内にあった.htaccessファイルを604に
■FFFTP内のフォルダーを705に(手当たり次第やってみましたが良かったでしょうか)
■FFFTPをFTPSに
■WP管理画面へのパスを変更
■FTPアクセス制限
■WAFを有効化
こちらでご助言を頂けて、初めてできた部分もあります、ありがとうございます。
現在はワードプレスサイトの管理者として入れていますか?
バックアップのデータベースに接続できても、ハッキングされた時のだと再発するでしょう。
1・データベース内に自分以外のユーザーがいないかを確認。いたらそれを削除。
2・データベース名、データベースにアクセスする自分のパスワードの変更。
3・新規にユーザーを作る。
4・データベース内のWordPressの接頭辞を変更。
新しいWordPressはハッキングされたものとは違う名前で作成する。
新しいユーザーでログインして、データベースと接続する。
復旧後、数分というのは判りますが数時間してから・・・というのではね
digit@maetelさん、ありがとうございます。
FTPアクセス制限をすれば一先ず大丈夫なのだろうと思い込み、それと属性変更だけして少し寝てしまいました。何をするにも調べないとわからないので、起きてからやろうと思ったのが後悔の始まりです。
追記…すいません、書き忘れました。
ワードプレスのユーザー一覧では、私は管理者となっています。名ばかり状態ですが。
早速教わった通りユーザー確認をしようとmyadminに入りました。
自分なりに調べて、「特権」という項目から確認できるとわかったのですが、「特権」の項目がありません。
4で教えて下さっている「WordPressの接頭辞を変更」というのは、データーベースの編集ですね…バックアップが取れないので、戦々恐々です。
復旧直後にワードプレスからエクスポートした「wordpress.2013-09-02.xml」を開いてみたら、いくつかのブログの記事全文は確認できたのですが、全記事の2割程度でした。
「wp-dbmanager」が原因でバックアップできなかったのではない気がしてきました。
バックアップが上手にとれない現状では、また復旧できても全く安心できないですよね…
ハックに遭ったことは、クラッカーさんが公表したHPに私のブログがあったみたいなので、間違いないとは思うのですが、
それ以前にデータベースがおかしかったのでしょうか?
かつてデータベースを触ったのは、「Yet Another Related Posts Plugin」を使いたくて、「”wp_posts” 」テーブルオプションのストレージエンジンを MyISAM に変更しようと思い、入った時一度きりです。
結局、MyISAM に変えてもこのプラグインは使えませんでした。(その時点で変だったのかしら・・・)
あれこれだらだらと書いてしまってすいません。
何が必要な情報で何が不要な情報なのかわからないので、おかしいなと思ったことは全部書かせてもらいました。
今回のこととの直接関連はないでしょうが、今年の頭にサーバーサービスからメンテナンス中に破損しているデータベースが私の使っている一つのサイトに該当するのでサルベージを希望されますか?
と案内が来て、サルベージされたデータで新しいデータベースを作ってもらいました。
それで同じ内容のサイトが2つ出来上がりましたが、現在でもどちらとも不安定なところはありません。
そのことでデータベースに怪しいところがあっても、そのデータにアクセスしていなかったりテーブルを使わない限り気が付かないものかもしれないと思ってます。
今回のクラッキングは前もって潜伏していたのだと推測しています。まるごと書き換えられて真っ黒のページにハッカーのロゴ、それにサウンドが鳴るようになっているサイトもいくつも検索でヒットします。
そこまで行ったらどうしようもなかったでしょうね。
わたしが利用しているのはheteml、お名前、OCN。復旧にかける時間と手間を考えるとレンタル料金の節約どころじゃないなぁと実感しています。
さて、管理者としてユーザーを確認できるなら、自分以外を削除。新しく管理者でユーザーを作成。
その時別のブラウザでログイン出来る状態にしておいて、ログインする。
セキュリティプラグインで不正ログインのログを残すようにしておく。
lolipopに再びデータベースを新しく作ってもらって、現在とは違うディレクトリに新しいサイトを作ってデータベースを取り込んでみる。
バックアップで記事本文が残っていれば、先に復元したサイトにはまだハッカーが隠れていたことに成りますね。
index.bak.php が作られていれば以前にも改ざんされていた痕跡です。
お邪魔します。(o*。_。)oペコッ
yurika 様
一旦落ち着いて、リセットしましょう。
現在のロリポップ様の作業状況はご覧になっていると想います。
もしまだご覧でない場合は、「新着情報/お知らせ」、こちらをご覧下さい。
次に、ロリポップ様へはすでにご連絡済みと想いますけれど、返答は頂けましたか?
まだならば、その返答がくるまでは何もしないでおきましょう。
ロリポップ様で復旧してくれれば(前回は8月27日時点ですよね?)、そこからが復旧開始です。
yurika様が行われた作業内容に少し追加を
■フォルダ内にあった.htaccessファイルを604に
・・・・・・修正加筆する時は[604]、修正加筆終了したら[404]
■FFFTP内のフォルダーを705に(手当たり次第やってみましたが良かったでしょうか)
・・・・・・ディレクトリパーミッションは[705]で正解です。綾も同じにしています。
出来ればファイルパーミッションも[604]に出来ればいいのですけど、プラグインその他動かなくなる場合もありますので、最低でも[644]以外のパーミッションファイルが無いことを確認して下さい。
■FFFTPをFTPSに
■FTPアクセス制限
・・・・・・確かFTP制限も使い始めたのですよね、ルートフォルダ、に設置された[.ftpaccess]があると想いますので、こちらのパーミッションも[404]に変更
■WAFを有効化
・・・・・・こちらはロリポップ様で全て有効に変更作業中ですので、再確認して下さい。
ここまでを準備段階として下さい。
次にロリポップ様で復旧が完了した連絡が来たら
■WP管理画面へのパスを変更
・・・・・・再度行って下さい。その時のパスワードは出来れば、半角英数字記号(¥記号は使用出来ません)、のパスワードがよいです。
(例)・・・z?<VUuFBKf$B u^5f1jy[DTwp
■ユーザー専用ページからphpMyAdminにログインして、データベースのエクスポート(全テーブル)を行って下さい。その時に、圧縮はしない、でダウンロードして下さい。
操作手順
1.phpMyAdminへログイン
2.Wordpressで使用中のデータベース(左サイドバーより選択・クリック)
3.テーブルが一覧で右ペインに見えていると想います。
オーバーヘッドのあるテーブルがないか確認
4.オーバーヘッドのテーブルがあったら、そのテーブルを選択(テーブル名の左側に□チェック欄がありますのでチェック→テーブル一覧の一番下に[チェックしたものを]という、ドロップダウンで選択するところがありますのでその中から[テーブルを最適化する]を選択)→右下にある[実行]をクリック。
5.オーバーヘッドテーブルがない場合とテーブル最適化終了後に、
1.テーブル一覧の上にある[エクスポート]をクリック
2.エクスポート方法、で、詳細、のラジオボタン(○いものです)をクリック
3.テーブル:の直ぐ下に[全選択/全選択解除]がありますので、全選択、をクリック
4.出力:出力ファイルをダウンロードする、が選ばれている事を確認、もし選ばれていなければクリックして選択
5.フォーマット:が、SQL、になっていることを確認
6.これ以降はデフォルトのままでいいので、一番下の[実行]をクリック
7.出力されたSQLファイルを保存して下さい(ダウンロードメッセージが出ると想います)
ここまでで、復旧されたデータベースファイルが手元に出来ました。
これを開いて内容を確認するのがよいのですけど、慣れていないと結構大変なので、一先ずはそのまま保存状態で置いておいて下さい。
次に管理画面にログインします。
ログイン出来たら
1.ユーザー一覧、を開いて自分以外のユーザーが登録されていない事を確認。
この段階で自分以外のユーザーがいたら削除。
2.ユーザーが自分だけなのを確認したら、新規追加、で新しい管理者ユーザーを作成します。
yurika様に確認:ユーザーの追加方法は大丈夫ですか?
3.権限グループを、管理者、で作成して下さい。
4.作成出来たら一旦管理画面からログアウトします。
5.先ほど作った、新しい管理者、でログインします。
6.ユーザー一覧を開きます。今ログインしているアカウントと先ほどまでしていた管理者アカウントの2つがあることを確認して下さい。
7.これまでの管理者アカウントを、削除、します。
この時に記事の投稿者を移行する内容が出ますので今ログインしているアカウントを選択して下さい(それ以外は出ないはずです)
8.削除が完了したら、ユーザー一覧に新しい管理者アカウントしかないことを確認
ここまでで、これまで改竄進入(と言っていいか分かりませんけど)に使用されたと想われるアカウント、パスワード関係は全て新しいものに変わった事になります。
まだロリポップ様からは連絡がきていないと想いますので、ここまでの手順を覚えて下さい。
コピー&ペーストでテキストファイルに保存しておいて下さい、いつでも見られるように。
※長いのでとりあえずここまで投稿しておきます。
(o*。_。)oペコッ
digit@maetelさん、
綾さん、
windows-userさん、
何度も懇切丁寧に本当にありがとうございます。
もうなんていうか、このご親切をどのようにお礼すれば良いのか、頂いたコメントに向かって手をついて頭を下げるばかりです。
少しお仕事がありまして、数時間お返事が送れますことを言いに、取り急ぎ書き込ませていただきました。質問しているのはこちらですのにごめんなさい。
また改めて、頂いたアドバイスについて、こちらの状況を確認してから書き込ませてもらいます。
一旦失礼します!
digit@maetelさん、興味深いお話をありがとうございます。
教えて頂いた3社さんのHPを見てみました。バックアップオプションが物凄く魅力的に見えます。私のブログは実利がほぼないので、ちょっと迷ってしまう金額ではありますが…
けれども、今回このようにお詳しい方に沢山の時間を割かせてしまう結果になったことを考えると、検討してみるべきかな、と思い始めています。
ついつい利用料の安さに惹かれてしまいますが、初心者であれば余計に、人様に迷惑をかけずに済むような選択をしないとならないと感じました。
黒のページにハッカーのロゴ、それにサウンドが鳴るようになっているサイト・・・・
私がやられていたら、卒倒していたかもしれません@@;
被害に遭われたかたの心中お察しします…
WPですが、またロリポップさんに巻き戻してもらえたら、教わったようにやってみます。
ありがとうございます!
index.bak.php にも注意してみます。
まだロリポップさんから回答を頂けていないので、またご報告をさせて頂きます。
