WordPressが乗っ取られちゃった話。(① 状況把握編)

WordPressが乗っ取られちゃった話。(① 状況把握編)

2021年11月13日
BLOG

「Webサイト改ざん」他人事だと思ってましたが、身近っていうか、MANGADORONサイトで勃発した話です。
※現在は復旧、セキュリティ強化対応済みです。ご安心して閲覧くださいまし。

ある日サイトを開いてみるとですね。マンガドロンのWebサイトの一部ページが、こんな風になってました。

(焦りすぎて、インスタストーリーのスクショしか残ってない)

なんか、通販サイト(?)のHTMLソースに差し替えられておる。
バトミントンのシャトルとかいらないし、売ってないし。。これは改ざん、、ハッキングってやつ?!目の前真っ白。

Webの仕事を始めて久しいけど、エンジニアレベルのことは詳しくない、いちサラリーマンバンドマンがサイト復旧まで、オール手探りでひーひー頑張った記録。把握〜対処の時系列で書いてみます。

INDEX

  1. 何が起こってるんだ
    1-1. サーバー管理画面に入ってみた
    1-2. WordPress管理画面に入ってみた
    1-3. FTPでファイルを見てみた
    1-4.ははあ、こういうことか、マジか
  2. これって、何が恐ろしいかっていうとさ… ←今日はここまで
  3. どうすりゃいいんだ
  4. 復旧
  5. 一応の防止策と反省

今回は、状況把握までのお話を。対処方法が知りたい方は「WordPressが攻撃されちゃった話。(② 復旧編)」をお読みください。でも、超手探りなので、一応時系列で読んでいただくのをお勧めします。

私のスペック
Webディレクター・プロデューサー歴10年。皿洗い歴10年。ギター歴30年、バンド歴22年。デザインはできる。
HTML構文はだいたいわかる。CSS2.2までは暗記してるけど、CSS3で挫折。
TOEIC300点台(やばい)。
Javascript、PHPはもはやフランス語くらいの感覚。
Web勘あるけど、エンジニアリングはまったくダメ、タイプ。
WordPress構築はもっぱらノーコーディングで。

1.何が起こってるんだ

謎の通販サイト(?)のHTMLが、売れないロックバンドのサイトを上書きしている。
リンクを辿ると、テント、ランタン、プロテイン…いろんな商品ページが出てくる。作った記憶がない色々なページがサイト内に。乗っ取り、サイバー攻撃、サイト改ざん、怖い。

1-1. サーバー管理画面に入ってみた

どうやってサーバーに入ったんだ…。mangadoron.comで利用してるロリポップサーバーの管理画面へ。
でも、パスワードも変更ないし、データベースも生きてる。一見、なんかされたようには見えない
こんな↓不正ログインメールも来てない。

サーバー管理画面に入らないでサイトをハッキングする方法…なんだろ…。

1-2. WordPress管理画面に入ってみた

あ、、、サイトの中に入る方法、Wordpressじゃないか。ログイン突破、プラグインの脆弱性、いろんなキーワードが頭を巡る。
そういえば、WordPressバージョンアップも、プラグインのアップデートもだいぶサボっていた。てことで、Wordpress管理画面(wp-admin)にアクセスすると…↓

ぼぼーん。

ああー。ログインできない…。たぶん、絶賛なんかされてる。MANGADORON、この壁の中でどんな陵辱を受けているのだろう…。バトミントンのシャトルをモリモリ食べさせられているのだろうか…

1-3. FTPでファイルを見てみた

WordPressのログインができない。FTPサーバーで管理画面のソース見てみよう、書き換えられたりしてるんだろうか。「wp-admin」配下のphpを開いてみると…↓

なんじゃこりゃあああああああ!

整然とシンプルな記述なはずのphpファイルに、エンコード不能な謎の文字列がズラーっと書かれている。あー。ウチの子汚されてる感がすごい。

次は.htaccessをチェックだ。アクセスできないのは、.htaccessに何か書かれてるからと思われる。
.htaccess見てみると…↓

やっぱり。


<FilesMatch> ディレクティブに「lock360.php」「wp-l0gin.php」とか、明らか怪しいファイル名のphpを発見。

1-4.ははあ、こういうことか、マジか

この、明らかに怪しいphpのファイル名でググったら、もう、完全アウトっぽいことがわかった。

マルウェア…、意図せぬファイルが意図せぬ動きをして、サイトを乗っ取ったりする、とかとか。

改めてFTPサーバーをチェックすると、あるある、変なファイル。

いちいち全部のディレクトリに、php.iniがいる。君ってそんなにたくさん存在する必要あるっけ?

そして、明らかに怪しい乱数ファイル名のphpが、そこかしこに。
腐海の菌糸がこんなところにも。感染感半端ない。

どうやら、マルウェア感染してしまってるぞ、と。
どこかしらからサイトに入り込んで感染して、サイトに変なファイルをばら撒いているのだ。

2.これって、何が恐ろしいかっていうとさ…

今の所は、MANGADORONのライブ情報を見たいユーザーにバトミントンのシャトル情報を見せつけるという謎プレイが発生している限りだが。
これが、アダルトサイトへのリダイレクトだったり、Facebookログイン画面に偽装したフィッシングページだったら、実害のレベルがグッと上がる。
あと、管理人(俺)のメールアドレスから大量のスパムメールや、同様のマルウェア感染メールをばら撒く可能性も。(幸い、メールの送信履歴には身に覚えがない送信記録は存在しなかった)

一回深呼吸。何が起こるんだっけ。整理するとーーーー

  1. サイトの情報発信が滞る
  2. それどころか、有害情報を発信してしまうかもしれない。
  3. 書き溜めたブログや情報が、無くなっちゃうかもしれない(もう、消されている?)

ちょっとお酒飲んで深夜0:00過ぎに帰宅して、ふっとサイト開いて乗っ取り検知。
判断までおよそ2時間。
続きは明日、、なんて呑気に考えてたけど、ちょっとこれは…とっとと対処しないとまずいんでないかい…という気分に。

長い夜はまだ続くことになるのでした。


WordPressが乗っ取られちゃった話。(② 復旧編)」に続きます。


ゆうたレッド