特定の共用サーバーに入っている、私の一部のサイトが WordPress プラグインの phpMyAdmin を経由して改竄されましたのでご報告します。この期間に該当するサイトを閲覧された方はウィルスに感染していないか調べてみてください。
改竄されたサイト一覧
- ウェブル
- ウェブルニュース
- Webデザインサンプル
- 食品栄養素データベース
- 顔文字データバンク
- 学習型しりとり
- アニメマップ(メインサイトのみ)
発生期間について
2012年1月16日18時頃に改竄され、2012年1月17日20時より大まかな除去が完了。全ての改竄されたファイルの除去に2012年1月20日15時に完了しました。この期間にウェブル運営のサイトを閲覧された方はウィルスに感染していないかお使いのパソコンをチェックしてください。
改竄された原因について
WordPress プラグインの WP-phpMyAdmin の setup.php の脆弱性を突いてサーバー内の書き換え可能なファイルを改竄されました。以下、今回参考にしたサイトです。
- WP-phpmyadmin WordPress plugin – Delete it now | Sucuri
- phpMyAdminのsetup.phpの脆弱性を突くサイバー攻撃を確認 – Snufkinski Memo
- 情報処理推進機構:情報セキュリティ:ウェブサイト管理者へ:ウェブサイト改ざんに関する注意喚起 一般利用者へ:改ざんされたウェブサイトからのウイルス感染に関する注意喚起
- レンタルサーバー「heteml」 – サイト改ざんへの対策をお願いいたします
- WordPressサイト改ざん.htaccessリダイレクトアタック被害の応急処置方法〜ヘテムル利用者で被害拡大 – ウイルス対策ソフト比較/無料版あり評価ランキング30tx
対応について
改竄されたファイルのコードと同じモノをサーバーから全て削除致しました。また WP-phpMyAdmin の削除も行い、今回とは直接関係ないですが FTP によるアクセスを全て遮断し、SSH のみで作業しています。
致命的なテーマファイルなどの改竄されたコードは17日の時点で削除しておりましたが、使用していないテーマファイルやライブラリ内の公開用のファイルは全て改竄されていましたので、サイトを停止させることなく根絶させるのに本日までかかりました。
サービスを利用された方へ
キャッシュ等の関係もあり、トップページも当時確認する限りでは改竄されたコードは見つかりませんでしたが、あとから作成されたキャッシュには不正なコードが含まれていたようですので、全員が全員ではないと思いますが、念のためサービスを利用された方は念のためウィルスチェック等をお願い致します。
対応方法の詳細について
今回改竄されて入れられた不正コードや不正コードが含まれたファイルのリストアップ方法については月曜日までにまとめて公開する予定です。
コメント