MMRT daily life、またもや襲撃される!

前回の攻撃はこちら

1月2日、恒例の嫁の実家での婿3人会の時に届いたメールがこちら。

なんだってぇ!

ぎょぎょぎょ!

しかし、為す術なく、翌日に持ち越し。

調べるとピンと来ない。ウィルス対策ファイルなるものを実行してみるが、パッとしない。SSHでファイル更新時期をみて改ざんファイルを調査。2つほど怪しかったので訂正したり、削除したり。自信満々で再審査に望む。

不通過・・・

審査に通過しませんでした

なにーーぃ! 違うっていうのか。そうか。冷静になり、サイトマップの注意事項を読む。(今?w

該当URLのソースを探ると覚えのないスクリプトコードがあった。それは、post_content内。DB内に直接スクリプトを埋め込まれたことになる。なんという凶悪な・・・とはひろまさ談。記事の最後に挿入されていた。コードをコピーして、Search Regexで削除しようとするが、全コードだとヒットしない。そこで、部分部分に区切って置換してみると成功。1000件くらいヒットする。全記事まではいかないのか。

なんとかパス

再審査してもらうと(結構時間はかかる)、審査通過。ヤレヤレ。

でも、不安なのでたまたま開けたURLで調べると違うスクリプトコードが・・・。消したのはアクセス解析的なコードだったのだが、今度は検索的なコード。コードは悪用されてもアレなので晒さないが、そんな感じ。

これも部分消去を試みるが、どうしても一部消えない。PHPMyAdminでSQL文を実行してみるも構文エラーを返されて訳わからず。トライアンドエラーで構文エラーは止まったが、1件もヒットしない。 :!:

そんなわけなかろーもん

しかし、その後どうやってもヒットしない。困ったときの神様、仏様、ひろまさ様。(すいませんすいません

ひろまさにSQL正規表現に変換できる秘密兵器を作ってもらい、試してみる。ブラウザに表示されたゴミコードを変換してみたが、ヒットせず。今度はDB内のデータをコピーして変換。

UPDATE wp_posts set post_content = replace(post_content, ‘消したいコード’,”)

消すというより置換ですわな。2000件ほどヒットした。あとランダムにテストしてみたが、ヒットしなかったので完全に削除できてると思う。

お正月からひろまさの手を煩わせてしまった。この頃、投稿しかしてないのでかなりwebに疎いのよね。でも、なんでウチなんでしょう? 何万アクセスとかねーですよ? 脆弱だったのかなぁ? そうそう、原因は特定できていない。大昔のプラグインが怪しかったので削除したけど。あとはログインパスワード、MySQLパスワード、wp-configの認証用ユニークキーとか変更できるものは変更したし、セキュリティプラグインも入れてみたし。

やはり持つべきものは師匠ということで、お後がよろしいようで・・・。(殴

Special Thanks! Hiromasa! ;)

【追 記】
そうそう、スプリクトコードの前には<!–more–>が配置されており、続きを読みにいくと引っかかるようにしてあった。袋とじ的手法。www

スポンサーリンク
  • このエントリーをはてなブックマークに追加

コメント

  1. くろすけ より:

    いやー有名サイトの管理人は辛いですなぁー ┐(´ー`)┌

コメントをどうぞ

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

:x :wink: :twisted: :shock: :sad: :oops: :o :mrgreen: :lol: :idea: :evil: :cry: :cheesy: :arrow-u: :arrow-l: :arrow-d: :D :?: :) :!: 8)

プロビロナム