3/16の深夜、このブログのCMSの一部が改ざんされていたのを見つけました。
現在はほぼ復旧しておりますが、ページを閲覧された方々には心よりお詫び申し上げます。
また、できれば念のため、ウィルス検索などをお願いいたします。
詳細につきましては、以下に記載していきます。(必要に応じて追記予定です。)
気づいたのは3/17の21時過ぎ、iPhoneでページがうまく表示されていないのに気づいた時でした。
広告かなにかの影響で表示が崩れたのかな?と思っていたのですが、HTMLソースにそもそもコンテンツが出ていません。
そこでPHPを見てみたら、なにやら見慣れないJavaScriptが。
これをググってみて改ざんに気づいた次第です。
幸い(?)、iPhoneのほうはテーマのPHPが複雑なのもあり、そもそもエラーになっていて、このJavaScriptはHTMLに展開されていませんでしたが、通常ページのほうが問題です。
なお、改ざんされた時刻は3/16の23:44頃で、3/17の22:33には元に戻しました。
すべてのソースをgrepでチェック済みですし、サイトもSucuri SiteCheckで安全確認済みです。
改ざんされたのはテーマのPHPだけが狙われているということで、おそらくWordPress関連の脆弱性だと推測しつつ、アクセスログを見てみるとこんな記録が。
static-72-94-191-***.phlapa.fios.verizon.net – – [16/Mar/2012:23:44:07 +0900] “GET /wp-content/plugins/wp-phpmyadmin/phpmyadmin/scripts/setup.php HTTP/1.1” 200 14560 “-” “Mozilla/5.0 (Windows)”
(念のため、アクセス元の一部を伏せておきました。)
停止中だったプラグイン「WP-phpMyAdmin」の脆弱性を突いたというわけです。
他のブログでも同様の被害が出ているようで、早めに気づいておけば良かったのですが…。
停止中だったというのと、常に最新状態を保っていたので、ちょっと油断していました。
ということで、停止中のプラグインやテーマはなるべく削除し、必要最小限の状態にしました。
念のため、この状態でバックアップも取って、しばらくはこまめに監視したいと思います。
なお、付加されたコードはまだ詳細に解析できていませんが、おそらくこちらに記載のものと同じだと思われます。
複雑に難読されたコードもやってることはfile_get_contentsで攻撃コードを取りに行って出力…というものでした。
ということでしたので、Webブラウザの脆弱性に問題がなければ、最悪、ブラウザをハングさせる程度だったかと思われます。
ただ、攻撃コード次第でもありますので、大変お手数ですが、ウィルススキャンなどの実施をよろしくお願いいたします。
いつもご覧頂いている方には大変ご迷惑をおかけしました。
この場を借りまして、お詫びとさせていただきます。