7月末に WordPress のtop pageをrenewal した時に、どうもダメなテーマを入れてしまったのではないかと。学生は経験浅いから攻撃される前の数日に roll back とかするわけですが、だいたい、やられたのと実際の稼働には時間差があるものなので無駄ですね。適当に直しただけでは、元に戻されてしまうというオマケ付き。
東京にいる間は手だししにくかったんですが、戻ってきたので一通りみました。theme のcheckerで2個ぐらい引っかかっていて。vuls でも PHP 関係の脆弱性が。PHP/WordPress 辺りはサボるとテキメンだからなぁ。
plugin なので組織的に書き換えられてしまう。root kit の検出はできなかったので root までは突破されてないようですが。この規模の侵入は珍しい。うちで良くやられてたのは学生の放置していたサーバに入られて、DDoSとかだったんですけどね。
refererを見ていて「googleから検索した時だけ変なURLを見せる」というもので、普通にURLからアクセスするだけではバレないという仕組み。変なURLは、もちろんトロイの木馬というそういうもののようです。
まだ、復旧には時間かかりそう。
No comments:
Post a Comment