Friday, 31 August 2018

学科のWebがやられました

7月末に WordPress のtop pageをrenewal した時に、どうもダメなテーマを入れてしまったのではないかと。学生は経験浅いから攻撃される前の数日に roll back とかするわけですが、だいたい、やられたのと実際の稼働には時間差があるものなので無駄ですね。適当に直しただけでは、元に戻されてしまうというオマケ付き。

東京にいる間は手だししにくかったんですが、戻ってきたので一通りみました。theme のcheckerで2個ぐらい引っかかっていて。vuls でも PHP 関係の脆弱性が。PHP/WordPress 辺りはサボるとテキメンだからなぁ。

plugin なので組織的に書き換えられてしまう。root kit の検出はできなかったので root までは突破されてないようですが。この規模の侵入は珍しい。うちで良くやられてたのは学生の放置していたサーバに入られて、DDoSとかだったんですけどね。

refererを見ていて「googleから検索した時だけ変なURLを見せる」というもので、普通にURLからアクセスするだけではバレないという仕組み。変なURLは、もちろんトロイの木馬というそういうもののようです。

まだ、復旧には時間かかりそう。

No comments: