きっかけはこちらです。他の方からもメールで直接くわしく症状と対処方法の連絡いただきまして、データを本格的に調査しました。その結果実際に攻撃にやられていたのが判明したので、その内容について注意喚起含めてまとめておきます。
https://twitter.com/DiaryOneword/status/1291720541800259585?s=20
症状は上記のように広告がランダムで表示されるというもののようです。問題はどこに埋め込まれたかです。Wordpress上だと怪しい点はなかったので、FTPからファイルを確認します。Wordpressプラグインで改竄チェックのプラグインもありましたが検出されず、自分で調べるしかありません。
とりあえず最初にやったのは日付が新しい見たことがないファイルがないかどうかです。
そうしたらありました。8/1に更新してないので心当たりないファイルです。ファイル名も怪しい!このicoファイルは危険らしく中身を確認しようとするとOSのウィルス検知に引っかかり消されます。まず間違いなく怪しすぎるファイル。そしてもう一つ4/18日のタイムスタンプになっているagtkfeyb.phpも名前的に怪しいです。
この中身なのですが、このようになっています。コードそのまま貼ると何があるかわからないので画像で貼ります。ウィルス語は翻訳しないとわからないのでここで翻訳をしています。
正直翻訳後をみてもよくはわかりませんが、なんとなくPostたどって文字列追加しているような雰囲気です。これがいつどこから入ったのかわからないのが気持ち悪いです。
他にもやられている場所を調べると、パスを辿れるwp-configは全部改竄されていたのと、オンラインからリンクをたどっているディレクトリにはほぼ例外なくindex.phpが追加/改竄されており、以下のように怪しい文字列が追加されています。wp-comfigとindexはほぼ同じ内容です。
これも上のウィルス語翻訳サイトで翻訳すると、icoファイルへのリンクでした。とりあえずicoファイルは全部削除、あとはwp-configとindexの重要箇所は全部該当文字列を削除して対応しました。
これで広告は表示されなくなると思うのですが、セキュリティーの穴を塞がなければまた再発してしまいます。これがどこから入ったかが一番問題です。ひととおり改竄場所を見るとpublic-htmlの上位までやられていましたから、プラグインとかwordpress管理者経由と言うよりFTP経由でやられているように見えましたので、FTPの設定をかなり強力と思われるパスワード文字列に変更しました。以前のパスワードは他で使っていないものなのですが莫大な時間をかければもしかしたら破れるパスワードでしたので実力行使で突破はありえなくはないです。本当はFTPも証明書付きが良いのでしょうがサーバー側が対応していないと出来ませんね。念の為wordpress側のパスワードも全部変更です。もう一度やられたらサーバー側管理者に相談してみます。
これでしばらく様子を見てみようと思います。ご連絡いただいた方ありがとうございました。もし今後にたような症例が出たらまたご報告いただけますと助かります。
