日別アーカイブ: 2017年3月1日

ハッキングされました・・・そして、サイトを復旧させるまで

当サイトがハッキングされました。
現時点(投稿時)では復旧はしておりますが、ハッキングされてから約2週間が経過しており、
この間に閲覧いただいた方々にはご迷惑をおかけしたことをお詫び申し上げます。

この2月、なにかとバタバタしておりまして、サイトの方の管理がおざなりになっておりました。
つい一昨日夜(2/27)、ふと備忘録をあさろうと、過去の記事を検索して見ていたら、見慣れないリンクが。バイアグラがどうのこうの・・・
あ、これおかしい。
ここで初めて異変に気付きました。

28日夜、帰宅後に確認した結果、症状は思っていたよりも深刻であることが判明。

・ログイン画面において、ロボット除けに設置していた「SI Captcha Anti-Spam」が無効になっていた。(2/27時点で)
・Googleの検索で「このサイトは、第三者にハッキングされている可能性があります」との表示。
・すべての記事について、変なリンクが残っていないことを目視で確認した結果、複数の記事についてリンク埋め込みが発覚。
・この結果、どうやら2/12頃、改ざんが行われた様子。

そして、以下の処置を実施しました。とりあえずの処置は完了したものと考えます。

・すべての記事を確認し、改ざんされていた記事については、書き換え前のリビジョンが残っていたため、過去のリビジョンに差し替えを実施。
・他のサイトの改ざん被害例で、WordpressのテーマのPHPファイルが書き換えられていた事例が紹介されており、使用していたテーマは削除し、再度ダウンロードして差し替え。
・Wordpress 4.7.2(1/27公開)への更新がされていなかったので、更新を実施。
・PhpMyAdminでデータベースを確認した結果、新たに怪しいDBが作られている形跡がないことを確認。
・従来の管理者のIDは削除、新たに登録した管理者IDに差し替えた。
Google Consoleに当サイトを登録して健全性を確認、「第三者にハッキング」云々のメッセージが検索結果から消えたことを確認。

以下は原因等の分析概要です。

原因推定
Wordpress 4.7.1の脆弱性を突かれた可能性が大。
(ID/パスワードを総当たりで突破された可能性も否定できないが)
いずれにしても、抜け穴を突かれた形で記事の改ざんを許してしまった。

改ざん期間
2017/02/12~2017/02/28 23:00頃まで

今回と全く同じ症状という訳ではないかもしれませんが、いろいろ見て回った中で以下の2サイトを特に参考にさせていただきました。

サイトが改竄されていた件についてご報告|Tik’s 修理工房
WordPressはメンテナンスが大事!改ざんされたサイトを復旧させるまでの道のり|EXP クリエイティブなことをはじめた(い)人立ちへ
[WordPress] サイト改ざんの被害にあったので行った対処・対策方法などについてまとめました|memocarilog