知り合いのとこのWordPressが改ざんされたとかで大変な感じになってるみたいです。
8月末にはロリポップも大規模なクラックがありましたね。
第三者によるユーザーサイトの改ざん被害に関するご報告
http://lolipop.jp/info/news/4149/
そんなわけで、改ざん対策に関するメモメモ。
WEBサイトが改ざんされてしまったら?
http://lolipop.jp/security/sol.php
上記URLからの引用です。
2.CMSおよびプラグインを最新のバージョンへ更新する
3.すべてのディレクトリのパーミッションを「705」にする
4.改ざんされた不正なファイルを削除・修正する
5.「.htaccessファイル」を修正する
画像ファイルの拡張子からphpを実行させる手口とかもあるんですね。
これはFTP上で見ただけではなかなか気づきません。
気になったのは全てのディレクトリのパーミッションを「705」にしたらアップロードファイルのフォルダに書き込みはできるんですかね?
WordPress 大規模ハッキングについて
http://work.yorukuma.net/index.php/works/2013060201/
次はこちらのURLからの引用です。
⇒ これは、ファイル数があまりも大量なので、削除するプログラムを作りました。
2.スパムプログラムの除去
⇒ サーバー内を直接調べ、確認のうえ一括で削除を行いました。
3.スパムメール調査
⇒ 業者を調べ、ブラック追加になっていましたのでホワイトである申請を行いました。
base64プログラムを書き込まれた経験は私もあります。
その時はLinuxコマンドで対象ファイルを洗い出しました。
最近ではよりややこしくなるようににchr()とかin_array()とかpreg_replace()などを入れてるプログラムを見ますね。
あとは個人的な経験でチェックしておいた方がいいかな、と思う手順を。
[1]
サーバ上で
find ./ -type f -print | xargs grep -l 'base64'
find ./ -type f -print | xargs grep -l 'mail'
find ./ -type f -print | xargs grep -l 'eval'
find ./ -type f -print | xargs grep -l 'pack'
find ./ -type f -print | xargs grep -l '@error_reporting(0);'
などで改変されたファイルを探す
(uploadsフォルダ内に変なファイルがアップされてることが多い)
変なファイルがあれば、削除 or 修正。
[2]
パーミッションが777になっているフォルダがあれば755か705に変更する
(themeフォルダ内のファイルが改変されていることが多い)
[3]
クローラ以外の国外からのアクセスをhtaccessで弾く
[4]
下記をhtaccessに追記し、xmlrpc.phpのアクセスを制限する
<Files xmlrpc.php>(xmlrpc.phpの脆弱性対策)
order deny,allow
deny from all
allow from 192.168.1.
allow from 127.0.0.1
allow from localhost
</Files>
こんなとこですかねー。
