質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

Q&A

解決済

4回答

2306閲覧

Wordpressの複数ファイルが勝手に書き換えられてアクセスできなくなる

ministop

総合スコア17

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

0グッド

0クリップ

投稿2018/12/17 02:26

昨日質問をしたものです。
https://teratail.com/questions/164234

サイトの編集を一切していないにも関わらず、また同じ現象が起きました。
前回はパーミッションを変更したときになりましたが、今回は何もしていません。

ファイルを見てみると朝の6時くらいに複数のファイルが更新されています。

サイトにアクセスするとこのような画面になります。

イメージ説明

書き換わってるファイルは全てeval(gz...のようなコードになっています。

イメージ説明

前回はWordpressを削除し、再インストールで元通りになりましたが、またすぐに同じ現象が起きるのではないかと思ってしまいます。

原因と対処方法は何かありますでしょうか。宜しくお願いします。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yoorwm

2018/12/17 02:33

朝の6時という時間にご自身がアクセスした覚えが無いのでしたら、その時間帯のアクセスログを調べてみる事は出来ないでしょうか?
ministop

2018/12/17 02:45

アクセスログを初めて見たので見方がわからないですが、下記のようなものが現在も続いています。これは他者からアクセスされているということですか? ○○.com 184.75.221.195 - - [17/Dec/2018:03:41:00 +0900] "GET /wp-login.php HTTP/1.1" 403 2875 "-" "Mozilla/5.0 (Windows NT 5.1; rv:29.0) Gecko/20100101 Firefox/29.0" ○○.com 184.75.221.195 - - [17/Dec/2018:03:41:00 +0900] "POST /wp-login.php HTTP/1.1" 403 2551 "-" "Mozilla/5.0 (Windows NT 5.1; rv:29.0) Gecko/20100101 Firefox/29.0" 大事なこと言ってなかったのですが、昨日ファイルをバックアップしており、それも同時間(朝の6時頃)にファイルが書き換えられていました。もちろん触っていません。
papinianus

2018/12/17 02:47

コードがクラッキングですよね。id/pwとかが割り出されているのでは?
ockeghem

2018/12/17 06:07

使っていたソフトウェア(OS、PHP、WordPress、プラグイン、その他)の名称とバージョンがわかれば教えてください
ministop

2018/12/17 08:12

OS X Yosemite PHP7.2.6 WordPress 5.0.1 プラグインデフォルト レンタルサーバー xserver Mysql5.7 です。 とりあえず再構築して繋がるようになりました。
guest

回答4

0

WordPress のバージョンとか PHP のバージョンとかわかりませんが...

WordPress サイトが、乗っ取られていて、改変されているということはないでしょうか?
添付画像のコードで検索すると... マルウェア感染とかサイト改ざんとか色々出てくるのですが...

全てのパスワードを変更して、すべてのWebコンテンツ(データベース内のデータも含む)やファイルを(必要ならローカルディスクにバックアップした上で)サーバーから全て削除して、再インストール+再構築。(再構築の際は、バックドアが設置されている可能性があるので、サーバー上にあったファイルは一切使わないようにしてください。 )

可能であれば、サーバーの再構築から始めた方が良いような気がします。

投稿2018/12/17 02:51

編集2018/12/17 02:55
CHERRY

総合スコア25171

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ministop

2018/12/17 03:00

回答ありがとうございます。 どちらも最新バージョンになってたかと思います。 先週アップしたばかりのサイトで同じことが二度あったので再構築をしてもまた同じ現象が起きるのかなと思ってしまいます。パスワードは自動生成で難しいものにしていましたがidはadminにしていました。 同じサーバーに置いてある他サイト達は特に変わりはありません。 とりあえず再構築をしてセキュリティの強化をしてみようと思います。
退会済みユーザー

退会済みユーザー

2018/12/17 03:53

再構築をしないとバックドアが削除できないんだが
guest

0

ベストアンサー

WordPressブログにRFI攻撃!?PHPファイルへの eval(base64_decode()) 埋め込みによる改ざんと対処方法 – Time to live forever

WordPressもしくはデータベースもしくはレンタルサーバーの管理者権限ユーザーのパスワードが破られ、
攻撃を加えられている状態です。
そのままの状態を放置すると、改ざんされたWordPressを踏み台に
さらに他のサイトに迷惑をかける事になります。

レンタルサーバー上のコンテンツはすべて信用できない状態なので、
WordPress削除、データベース削除、管理者アカウントの再作成などを伴う
再構築再インストールが必要だと思います。

影響範囲を調べる前に、早くコンテンツをすべて潰すべきです。
パスワードを破られたら、昨日今日の構築だろうとすぐ潰すしかありません。

って、ほぼほぼCHERRYさんらと同じ意見です。

破られないために、
ユーザーidにuserとかadminとかいう、ありきたりなものを使わないこと、
パスワード文字列を許容できる限り長くすること(12文字でも16文字でもあるいはもっと)、
が求められます。
パスワード8文字なんて1分で解析!安全に使うには何桁がベスト?結果発表 | Purple Life

投稿2018/12/17 04:36

編集2018/12/17 04:43
退会済みユーザー

退会済みユーザー

総合スコア0

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

ministop

2018/12/17 05:56

みなさんご回答ありがとうございます。 やはり危ない状態だったのですね。すぐに全て再構築します。 本当にありがとうございました。
guest

0

何度も見た典型的な改ざん被害なので対策しないと再発する。
原因の95%は不正ログイン成功されるような簡単なパスワード使ってる人間のせい。
残りはWPやプラグインの脆弱性。

一度被害に合うとここは攻撃できると判断されてどんどん攻撃されるので半端な対策では防げない。

・複雑なパスワードに変更
・WPやプラグインは常に最新バージョン使う。つい最近も旧バージョンほとんどに影響する脆弱性見つかってる。
https://ja.wordpress.org/2018/12/16/wordpress-5-0-1-security-release/
・ログインURLを変更
・二要素認証
・ログインイベントなどをログに残し不正にログインされてないか監視。

投稿2018/12/17 03:09

kawax

総合スコア10377

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

0

PCに何か仕込まれている可能性から疑ってみましょう

投稿2018/12/17 03:34

dousojin

総合スコア754

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問