こんにちは。TOBBY LABOの小安です。

先日、そう、年の瀬のひーっていってる2021年12/24クリスマスにれんてつのWEBがハッキングされて大惨事になったのですが、なんてあほな管理者なんでしょう、また、2022年1/10攻撃されました。

前回の記事→

れんてつのWEBページ乗っ取られた事件、名付けてブルーライトに殺されそうになるクリスマス

今回はれんてつのお客様がこっそり小安に連絡してきてくださって、夜中の1時過ぎに発覚。

現象としては、iPhoneやiPadのサファリで「れんてつ」で検索したとき、そこの一覧からリンクを踏むとリダイレクトがかかって別サイトに飛ばされるという現象。

この画面からリンクを開くと…
この画面に行ってしまうのですね。

なぜかGoogleクロームなどではこの現象が確認できず。そして、直リンクを入力するとリダイレクトがかからない状態であるので発覚するまでに下手したらすごく時間がかかってしまうところでした。

ですが流石れんてつのオタク様(ほめてます)。

毎日検索してくれているんですなあ…。

ありがとう、ありがとう。これ、気が付かなかったら結構大変だったよ。

さて、慣れたものでまずやってみるのはログイン試行。

「forbidden」の虚無なページ。

ということはまたサーバーの中をのぞかなくては…。

しかし、この日は3連休最後の日、次の日は夫のふじたさんも普通に朝から会社行くので夜中に会社に行ったら絶対ふじたさんのことだからついてくるっていうし、あまりにもかわいそうなので、これはちゃんと寝て朝早めに会社に行って作業しようと心に誓う。

寝る前にイメトレをして…そう、どうせindex.phpが書き換わってるんだろう。そしてどうせいろんな階層になぞのhtaccessが発生しているんじゃろ??と思い。

そして朝、ちゃんと蕎麦屋で朝ご飯を食べてから(これ重要。おなか減ってるとつらいから)ftpサーバーを覗くと。

わーお。やっぱり。

1/10の夜から知らんファイルが増えている~~

とある階層の図

そう、謎のhtaccessとphpが2個。

すべての階層に必ず登場してくる謎htaccess。そしてどういうパターンで登場するかさっぱりよくわからない謎phpをとにかく削除していく。もうこうなったら更新日で判断していくしかないので1/10以降のファイルが出てきたらサクサク消していく。

しかし見事にすべての階層にいらっしゃいました。全部。ほんとに。プラグインから画像からすべての階層に。

そして、謎のフォルダが第一階層にいらっしゃった。

fox-C

なにこれ、知らない。

中覗くとものすごい数のファイル。おそらく5000くらい??で、テキストファイルやらほんと謎なやつらがいた。

そして権限がないのでそのままでは消せないのでパーミッションを変更しまして、削除。

はい、そして、最上階のadmin.phpとindex.phpと謎のabout.phpを削除。

そして本家ワードプレスから一回ワードプレスデータをダウンロードして、 admin.phpとindex.php をその階層にアップロード。

はい、ログインできまーす。

ここまでの手順はほんとにそう、慣れたもんですよ。慣れたくないけど。

そして、この際だから外部のサービスでスキャンしてみようっと…

おや…下層ページがNoINDEX(表示されてない)だと…。うそじゃん、と思って見に行ったら「ほんとだーーーー404の白いページだーーー!!

それはそう。最上階のhtaccessを削除してしまっているから。

復旧方法はこちらは簡単で、ログインして管理画面の設定→パーマリンク設定画面へ行き、特に何も変更せず「変更を保持」を押すと自動で作成されます。そうすると下層ページが表示されます。

※これは、突然ワードプレスTOPページのみ表示されるが下層ページが表示されなくなった時の対処法で有名な方法。

というわけで無事になおる。

このほかにも12/25復旧時にバックアップを取っていたので挿げ替えるという方法もあったのですが、1/10までに若干の更新をしている部分があるので12/25に先祖返りしちゃうのなんか悔しいじゃないですか。

最後の手段として取っておきましたが発動しなくて済みました…よかった。

で、いい加減管理者としてセキュリティどうにかしないとなあと思い、今回導入したのはワードプレスドクターのマルウェアスキャンのプラグイン。これは便利。

この手のプラグイン海外製が多い中、日本製のやつなんですよ。しかもライトに使うなら無料。

課金しても年間3万円以内のお手頃価格なので良きかなと思います。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

https://wp-doctor.jp/blog/2018/05/17/%E3%80%90%E7%84%A1%E6%96%99%E3%80%91%E3%83%AF%E3%83%BC%E3%83%89%E3%83%97%E3%83%AC%E3%82%B9%E3%83%89%E3%82%AF%E3%82%BF%E3%83%BC%E3%83%9E%E3%83%AB%E3%82%A6%E3%82%A7%E3%82%A2%E3%82%B9%E3%82%AD%E3%83%A3/

でもほんとにやばいときは何やっても駄目だろうから、バックアップはこまめに取っておいた方がいいですね…。

ほんとウキウキしているとこういうこと起こる。れんてつかふぇ7周年わーいやったー3連休かふぇ営業だーってなって無事に終わった夜にこういうこと起こるんだもん…。

しかし前回のやつのおかげで淡々と対処ができました。

削除したファイル数はもう覚えてないっす。かなりの量削除した気がするよ…300くらい?いや、400くらい??3時間作業でしたとさ。

これはどこから入ってきたかっていうと、サーバーに直接アクセスしてきた形跡はなし。おそらくプラグインによってバックドア(裏口)が開かれてたのでは?とのことで、プラグイン一回ちゃんと全部更新しました。更新大事。そしてスキャン。うむ。多分前回と同じ入り口だったのでは。放置してた私あほちゃんですよね。だって12/25復旧した後1Fのかふぇで外部の結構プレッシャー高めなレンタルイベントがあったんだもの…バックアップ取ってほくほくして飛び出していったのを覚えているよ…

怪しいファイルはワードプレスドクターが検知してくれて、駆逐ができるのでとにかくお便利です。

では、皆様よき電脳ライフを~~~

もうWEBの乗っ取りは嫌ですほんとに。