Q&A
> サーバはVPSのapacheで1ヵ月前の保存イメージがあったため、即時切替えて対処しました。
って、何のイメージですか?
サーバー全体? WordPress? データベース?
WordPress のディレクトリのプログラムやデータのファイル等は、削除して、入れ替えたのでしょうか? そのままですか?
本日、WordPressサイトが改ざんされました。
別のURLにリダイレクトされます。
サーバはVPSのapacheで1ヵ月前の保存イメージがあったため、即時切替えて対処しました。
改ざん時のデータベースを後で確認するつもりでphpMyAdminにアクセスしましたが、アクセスできませんでした。
が、これは後から確認してみるとパスを間違っていました。
その後。ログを見ていると、404に対して海外からの不審なアクセスが多々ありました。
そして、3時間ほどして再発しました。
不思議なのは間違ってアクセスした上記のphpMyAdminのパスに対してもアクセスがあります。
WordPressは4.9.10で一応メジャー前の最新です。
プラグインについてはあまり数が多くありませんが、Easy WP SMTPに本日脆弱性が見つかったとの情報がありました。
管理画面のURLは変更、phpMyAdminはパスの変更、IP縛りしています。
また、サブディレクトリにもWordPressサイトがありますが、こちらは問題ありません。
おそらく、また再発すると思われます。
自身の見解ではサーバそのもの、ブルートフォースではないように感じていますが、この情報で考えられる要因はあるでしょうか?
OSを含めたサーバ全体のイメージです。
WordPressもデータベースも含んでいます。全体を削除して保存イメージの状態に再構築する機能があります。
ちなみに「不思議なのは間違ってアクセスした上記のphpMyAdminのパスに対してもアクセスがあります」はGoogleのボットっぽいです。
クローラをリアルタイムで観察していると、404になったものを確認しに来ているように見えます。
何が改ざんされていたのでしょうか。
どこを見て、復旧方法や、どのような原因調査をしたのか。
質問と追記にあるとおり、復旧方法はOSごとのバックアップからの復元です。
まず、PCのアンチウイルスソフトで警告。
モバイル端末でリダイレクトされることを確認。
おそらく、ヘッダ、もしくはbody内にスクリプトが出力されていた。
今思えば、ソースやバックアップを取るべきでしたが、アンチウイルスソフトでPCからサイトにアクセスすることができなかった、サイトを閲覧できない状態で放置できる状況ではなかったため、復旧を優先せました。
ですから、今ある情報から可能な範囲で要因を探求したいのです。
IDパスワードが推測されやすいものではありませんか?変更をおすすめします。
テーマファイルが変更されていないか 日付が更新されていないかを見てみては。
>テーマファイルが変更されていないか
恥ずかしながら確認できないのですよね。
すぐにリストアしてしまったため。
>IDパスワードが推測されやすいものではありませんか?
こちらはおそらく問題ないと思います。
というのはログインURLを変更してあること、GoogleのInvisible reCaptchaを使用しているためです。
そして、reCaptcha統計情報では不審なリクエストはありませんでした。
パスワードも憶測されるほど、単純ではないです。
ただし、再発後にログインURLとともに変更しました。
その際に行ったのははじめに書きましたEasy WP SMTPのアップデートです。
現状では再発していないので、このまま問題がなければ、上記のいずれかの対応が有効だったと言えるのかもしれません。
回答1件
0
自己解決
海外IPからのwp-adminのアクセス禁止など、いろんな対策を行いました。
その後、脆弱性のありそうなプラグインのファイルへのアクセス、SQLインジェクション、XSSなどさまざまなアタック痕跡が続きましたが、ブロックすることができたようです。
結局、ブルートフォース系ではないこと以外は原因ははっきりせず、初動段階で復旧を優先させてしまったことを反省しました。
その時点でのバックアップを取って後で検証すべきでした。
投稿2019/04/11 23:41
総合スコア11
あなたの回答
tips
プレビュー
