WordPress 改ざんとかのメモ

20131113-20110223025914.png

知り合いのとこのWordPressが改ざんされたとかで大変な感じになってるみたいです。
8月末にはロリポップも大規模なクラックがありましたね。

第三者によるユーザーサイトの改ざん被害に関するご報告
http://lolipop.jp/info/news/4149/

そんなわけで、改ざん対策に関するメモメモ。


 


WEBサイトが改ざんされてしまったら?
http://lolipop.jp/security/sol.php

上記URLからの引用です。

1.ウイルスソフト・セキュリティソフトでチェックする
2.CMSおよびプラグインを最新のバージョンへ更新する
3.すべてのディレクトリのパーミッションを「705」にする
4.改ざんされた不正なファイルを削除・修正する
5.「.htaccessファイル」を修正する

画像ファイルの拡張子からphpを実行させる手口とかもあるんですね。
これはFTP上で見ただけではなかなか気づきません。

気になったのは全てのディレクトリのパーミッションを「705」にしたらアップロードファイルのフォルダに書き込みはできるんですかね?


WordPress 大規模ハッキングについて
http://work.yorukuma.net/index.php/works/2013060201/

次はこちらのURLからの引用です。

1.base64プログラムの除去
⇒ これは、ファイル数があまりも大量なので、削除するプログラムを作りました。

2.スパムプログラムの除去
⇒ サーバー内を直接調べ、確認のうえ一括で削除を行いました。

3.スパムメール調査
⇒ 業者を調べ、ブラック追加になっていましたのでホワイトである申請を行いました。

base64プログラムを書き込まれた経験は私もあります。
その時はLinuxコマンドで対象ファイルを洗い出しました。
最近ではよりややこしくなるようににchr()とかin_array()とかpreg_replace()などを入れてるプログラムを見ますね。


あとは個人的な経験でチェックしておいた方がいいかな、と思う手順を。

[1]
サーバ上で
find ./ -type f -print | xargs grep -l 'base64'
find ./ -type f -print | xargs grep -l 'mail'
find ./ -type f -print | xargs grep -l 'eval'
find ./ -type f -print | xargs grep -l 'pack'
find ./ -type f -print | xargs grep -l '@error_reporting(0);'

などで改変されたファイルを探す
(uploadsフォルダ内に変なファイルがアップされてることが多い)

変なファイルがあれば、削除 or 修正。

[2]
パーミッションが777になっているフォルダがあれば755か705に変更する
(themeフォルダ内のファイルが改変されていることが多い)

[3]
クローラ以外の国外からのアクセスをhtaccessで弾く

[4]
下記をhtaccessに追記し、xmlrpc.phpのアクセスを制限する

<Files xmlrpc.php>
order deny,allow
deny from all
allow from 192.168.1.
allow from 127.0.0.1
allow from localhost
</Files>
(xmlrpc.phpの脆弱性対策)

こんなとこですかねー。

大阪の江坂でウェブ制作をしている、インフラもシステムもデザインもディレクションもできるエンジニア。 広く浅く薄っぺらくですが(笑)

Leave a reply:

Your email address will not be published.