年末、そして年始に掛けてWordPressをのっとられて、迷惑メールを大量に送信してしまっていた・・・

投稿日:2017-01-04

PHPMailer に OS コマンドインジェクションの脆弱性
http://jvn.jp/vu/JVNVU99931177/

 

ロリポップを使用しているのですが、お知らせでも出ていました。

自分は、PHPMailer自体は使用していないものの、WordPressを使用していたので、脆弱性を突かれた形になりました。

■脆弱性の影響を受ける可能性のあるもの

1:下記のようなソフトウェア

WordPress

・Drupal

・1CRM

・SugarCRM

・Yii

・Joomla!

2:上記のようなソフトウェア向けに提供されているメール送信系のプラグイン

3:その他「PHPMailer」を使用したプログラム

 

 

忙しい(笑)年末~年始にかけて、サイトの乗っ取りにあったので、その経緯を。

  1. 3,4年ぐらい前に試しに作ってみたまま放置していたWordPressのサイトがどうにも乗っ取られたみたいで、レンタルサーバー会社から警告メールが届く。
  2. 気づいた時には数時間経過
  3. 警告メールを見る限り、約300通(サーバー側で制限されている)/時間 ぐらいメールを送っている
  4. 5~10時間経過後に、3000通超えのメールを送信し、サーバー側からファイルを特定され、パーミッション「000」へ変更され、何も出来なくなる

1~4を3回繰り返しました。

少なくとも、

もちろん、警告メールが来てから手をこまねいていたわけではありません。

WordPressおよび、プラグインの最新化

バックアップの取得および、怪しいファイルの調査

.ftpaccessの設定

など、セキュリティ対策の要綱として上げられそうなことを試していきます。

一旦、上記を済ませたものの、止まらない警告メール・・・

ファイルの調査とは言うものの、複数ドメインが登録されており、WordPressなどのCMSを利用しているため、ファイルは数十万個・・・

 

メールとPHPMailerの脆弱性ということなので、PHPが怪しいと踏んで、元々存在しないファイルを探し始めるも、WordPressで登録されているファイルだけでも、ファイルの一覧がヤバイことに・・・

どうすれば・・・と途方にくれていたら、4番目のサーバー側からファイルを特定してくれました。

一安心と思っていたら、数時間後に、再度警告メールが届き、1~4を3回繰り返すことに・・・

ただ、運がいいのか悪いのか、この3回とも、同じ登録ドメイン下で起こってました。

なので、該当ドメインで作ったサイトを確認し、テスト的に作ったものだと分かったので、ドメイン配下のファイル全てを削除

それ以降、警告メールはありません。

 

 

めでたしめでた・・・くない訳で。

多分、年末に警告されていたWordPress絡みのセキュリティを突かれた形だけど、他のサイトで起こっていてもおかしくなかった。

そして、運用に乗っているサイトで被害にあっていたら、今回みたいな全削除という手段は取れないので、WordPressの復旧方法とかを学ぼうと決意しました。

 







-WordPress
-,


comment

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

関連記事

Pz-LinkCard っていうプラグインで、WordPressでブログカードが使えるようになった。

日本の中心付近で仕様変更と闘うSE日記VMWareがだめだったから、VirtualBoxでUbuntuを使おうとして駄目だった話。http://ht-jp.net/blog/pc/viatualbox …

投稿記事からユーザー名をバレないようにする。

以前、WordPressのサイトで乗っ取りにあった事がありました。 レンサバの運営からお知らせメールが無ければ、きっと気付かなかった・・・ 半分放置していたドメインだったし・・・ 気付かないもんですよ …

Twitterのフォローボタンを設置しました。

Follow @htjpblog こういうやつです。 いろんなブログで設置されてますよね。 ということで、自分もせっかくだし、設置しようということに。 設置以前に、貼り付けるコードがわからない こうい …

WordPress5.0でクラシックエディタを使う方法

何の気なしにWordPress5.0へアップデートしたら、エディタが変わっていて困った人向の記事です。 というか、まさに自分がそうw

スパムコメント対策で、Akismetプラグインを使ってみる。

一昨日くらいから、スパムコメントが一気に来るようになりました。 1日に20~30件くらい。 1日に1万PVを超えるような凄腕ブロガーからしたら屁でも無い数字だろうけど、いちいち内容を確認してチェックボ …


カテゴリー