きっかけはこちらです。他の方からもメールで直接くわしく症状と対処方法の連絡いただきまして、データを本格的に調査しました。その結果実際に攻撃にやられていたのが判明したので、その内容について注意喚起含めてまとめておきます。
https://twitter.com/DiaryOneword/status/1291720541800259585?s=20
症状は上記のように広告がランダムで表示されるというもののようです。問題はどこに埋め込まれたかです。Wordpress上だと怪しい点はなかったので、FTPからファイルを確認します。Wordpressプラグインで改竄チェックのプラグインもありましたが検出されず、自分で調べるしかありません。
とりあえず最初にやったのは日付が新しい見たことがないファイルがないかどうかです。
そうしたらありました。8/1に更新してないので心当たりないファイルです。ファイル名も怪しい!このicoファイルは危険らしく中身を確認しようとするとOSのウィルス検知に引っかかり消されます。まず間違いなく怪しすぎるファイル。そしてもう一つ4/18日のタイムスタンプになっているagtkfeyb.phpも名前的に怪しいです。
この中身なのですが、このようになっています。コードそのまま貼ると何があるかわからないので画像で貼ります。ウィルス語は翻訳しないとわからないのでここで翻訳をしています。
正直翻訳後をみてもよくはわかりませんが、なんとなくPostたどって文字列追加しているような雰囲気です。これがいつどこから入ったのかわからないのが気持ち悪いです。
他にもやられている場所を調べると、パスを辿れるwp-configは全部改竄されていたのと、オンラインからリンクをたどっているディレクトリにはほぼ例外なくindex.phpが追加/改竄されており、以下のように怪しい文字列が追加されています。wp-comfigとindexはほぼ同じ内容です。
これも上のウィルス語翻訳サイトで翻訳すると、icoファイルへのリンクでした。とりあえずicoファイルは全部削除、あとはwp-configとindexの重要箇所は全部該当文字列を削除して対応しました。
これで広告は表示されなくなると思うのですが、セキュリティーの穴を塞がなければまた再発してしまいます。これがどこから入ったかが一番問題です。ひととおり改竄場所を見るとpublic-htmlの上位までやられていましたから、プラグインとかwordpress管理者経由と言うよりFTP経由でやられているように見えましたので、FTPの設定をかなり強力と思われるパスワード文字列に変更しました。以前のパスワードは他で使っていないものなのですが莫大な時間をかければもしかしたら破れるパスワードでしたので実力行使で突破はありえなくはないです。本当はFTPも証明書付きが良いのでしょうがサーバー側が対応していないと出来ませんね。念の為wordpress側のパスワードも全部変更です。もう一度やられたらサーバー側管理者に相談してみます。
これでしばらく様子を見てみようと思います。ご連絡いただいた方ありがとうございました。もし今後にたような症例が出たらまたご報告いただけますと助かります。
再発しています。
googleの検索結果から「DDFA の実測特性、UCD方式との比較」という記事を開いたら、
本来の記事の代わりに怪しい広告が表示され、アドレス欄がsitriverunder15.liveになっていました。
連絡ありがとうございます。実はもう4-5回は対処療法的にファイル削除していますが、改ざんルートが不明でお手上げです。
Wordpressにはセキュリティ系ソフトを入れましたしFTPは無効にしています。
パスワードは全部変更しました。
それでも痕跡なく改ざんされているので専門の方に見てもらうしか無いかもしれません。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
https://wp-doctor.jp/blog/2018/05/17/%e3%80%90%e7%84%a1%e6%96%99%e3%80%91%e3%83%af%e3%83%bc%e3%83%89%e3%83%97%e3%83%ac%e3%82%b9%e3%83%89%e3%82%af%e3%82%bf%e3%83%bc%e3%83%9e%e3%83%ab%e3%82%a6%e3%82%a7%e3%82%a2%e3%82%b9%e3%82%ad%e3%83%a3/
検索していいろいろ調べていたら、良さそうなソフトを見つけました。
このソフト入れて怪しいコードをたくさん見つけたので削除しました。今まではこれはやってなかったので改善する可能性があります。
またしばらく様子見してみます。(上のスクリーンショットは公式のもので、当サイトのものではありません)
ここ数日問題再発を防げているようです。最後の決め手はWP Cerber Securityというプラグインでした。これを使ってファイルの整合性チェックを行うとWordpressとプラグイン関係の整合性をチェック、そして公式で配布されていないファイル、一致しないファイルがあるとすべて警告してくれます。最終的に確認していなかった場所に見知らぬPHPが配置されており、それが外部不正アクセスによって起動されていた。ということのようです。それらのファイルを削除してからは症状が落ち着いています。
ということで同じような問題が起きている方はWP Cerber SecurityとMalware scanこの2つの導入を推奨します。Malware scanのセキュリティを高相当に設定し、WP Cerber Securityで整合性チェックを行い、怪しいファイルをすべて削除すればWordpressのセキュリティで調べるほとんどのプラグインより強力なのではないでしょうか。以前はAll inなんとかというよく紹介されている有名なセキュリティプラグインを入れていましたがほとんど効果はありませんでした。