質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

Q&A

解決済

1回答

2459閲覧

改ざんされたWordpressサイトのバックアップファイルのローカルでの動き

r_iida

総合スコア99

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

WordPress

WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

0グッド

2クリップ

投稿2017/03/10 02:43

編集2017/03/10 02:44

関わっているWordpressサイトが改ざんされました。
https://www.orange-ss.com/column/0102.html
こちらのサイトを参考にしながら対応し、
一旦、サーバ上のファイルは全て削除しました。
その際に参考ページに従ってWordpressファイル一式を
バックアップしました。

バックアップファイルはサイトの設定確認や改ざんファイルの
検証などに活用できますが、この中のどこかにサイトを改ざんさせる
震源となるプログラムが含まれているかと思います。

こうしたプログラムが活動をするのはサーバ上のみでしょうか。
ローカル環境でも何か怪しい動きを行い得るのでしょうか。
(その場合はPCへの影響が気になっています)

<症状>
・サイトの全ページが404エラーで表示されなくなる。
(Wordpressのダッシュボードは表示され、ログイン可能、
サーバー上にもWordpressのファイル一式は存在する)
・Wordpress直下のindex.phpが改ざんされている。
その他にも改ざんされたphpファイルや見知らぬphpファイルあり
→別ページにリダイレクトさせようとする記述
→正規表現でパスを抜こうとしているような記述
→大量の文字列 など
・見知らぬフォルダが作られており、中に大量のHTMLファイルが。
中身は怪しい通販ページで、さらにJSで別ドメインへ
リダイレクトさせる記述あり。

<対処>
・WordpressダッシュボードのPWを変更
・Wordpressとプラグインを全て最新バージョンに
・index.phpを元に戻す→サイト表示復活(その後は再発なし)
・怪しいファイルとフォルダを削除
・翌日、削除したphpファイルの一部が復活(再発)、
別の場所にも新たなPHPファイルを発見
・FTPサーバのパスワードを変更
・データベースのパスワードを変更
・サーバ上のワードプレスファイルをバックアップ
(投稿のxmlファイル、データベースのsqlファイルも)
・サーバ上のワードプレスファイルを全て削除

<今後>
経過を見守っていますが、その後サーバ上には再発がないようです。
バックアップしたWordpressファイルは基本使わずに、
新たにインストールしたWordpressに以前のテーマやエントリーを
加えていこうかと思います。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

以下、参考程度ですが。

WordPressの脆弱性対応は「最新版に更新しろ」というものが多いですが。
プラグインなどには最新版であっても脆弱性への対処が出来てない物があるかも知れません。
また、WordPressやプラグインのバージョンに依存した脆弱性以前に、設定自体が原因というケースも懸念されます。
設定が問題であれば、いくらソフトを最新版にしても「穴」は残ってしまいます。

サイト復旧後、脆弱性スキャナとかでなにか脆弱性が残っていないか確認しましたか?
もし実施可能であれば、脆弱性スキャナで診断をかけておいた方が良いと思います。

WordPress向けのセキュリティスキャナだと、例えばWPScanあたりとか。
自分で実行環境を用意するのが困難な場合は、企業で提供している脆弱性診断サービスを利用する手もあるかと。
ただ、そのサービスを提供しているところが怪しいところでないか十分に注意する必要はありますが。

※参考:ウォルティ、WordPress脆弱性スキャン機能を提供開始

こうしたプログラムが活動をするのはサーバ上のみでしょうか。

ローカル環境でも何か怪しい動きを行い得るのでしょうか。
(その場合はPCへの影響が気になっています)

まず、ローカル環境はOSパッチなど常に最新にして、セキュリティ対策ソフトを導入して、パターンファイルも最新になっているでしょうか。
もしローカルで動いてしまうようなものなら、それである程度ブロックされる場合もあるかと。

クライアントサイドで実行されるスクリプトがある場合、うっかりブラウザなどで開くと活動する恐れがありますよね。
また、PHPなどローカルで実行出来るように関連付けていたりすると、うっかり実行してしまう可能性もありますし。
そのようなうっかりが懸念される場合は、圧縮するなりしてすぐ実行出来ないようにして置いた方が良いかと。

もし改ざんが疑われるファイルを検証をするのであれば。
なるべく外部に接続されていない隔離された検証用の環境を用意し、そちらで確認した方が良いかと思います。
VMwareやVirtualBox上の仮想マシンで検証用サーバを構築して、ホスト側からネットワーク接続を切った状態にしてから、仮想コンソールでいろいろ開いてみるとか。

投稿2017/03/10 20:47

kanbeworks

総合スコア829

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

r_iida

2017/03/14 13:09

ご回答いただき、ありがとうございました。 お返事が遅くなってしまい、申し訳ございません。 >WordPressやプラグインのバージョンに依存した脆弱性以前に、設定自体が原因というケースも懸念されます。 不勉強で申し訳ございません。 上記の「設定」とはサーバのセキュリティ設定という意味でしょうか。 Wordpressサイトはまだ復旧しておりません。 復旧しましたらセキュリティスキャナの診断を行いたく思います。 WPScanの知識がないため調べております。 ローカル環境でもスクリプトが実行される可能性があることは理解できました。 ネットワーク接続を切ったり、仮想サーバで検証したりと、原因究明に慎重を期した方が良いため、 サイト復旧よりも優先順位は低くなるかと存じました。
r_iida

2017/03/20 09:55

その後、ローカルのバックアップファイルを確認したところ、新しい日付で修正や追加されたファイルはないようでした。 kanbeworksさんのご指摘により、ローカルでも不正プログラムは動く可能性があることがわかりましたので、ひとまず原因の検証はしないでおこうと思います。 復旧サイトは最新のWPファイルをベースに行います。 これで再発すよようでしたらWPファイル以外のところに原因があると思うので様子を見たく思います。 脆弱性スキャンについては知識不足のため、調べつつ不明点が生じましたらまた改めて質問を立てたく思います。 詳しい情報ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問