どうも@kuroji1987です。
現在進行形なのか、もう終わったのか分かりませんが、僕のこのブログが海外のサイトに勝手にリダイレクトされてしまうという問題が発生しました。
いつからそういう状況だったのか把握していないのですが、たぶん昨日、おとといくらいからだったのかなぁと思っております。
で、何が原因だったのか分かりませんが、そのリダイレクトの元になる部分をぶっ潰しましたので、ご報告します。
なぜか、今使用しているテーマのfunctions.phpが改ざんされ、functions.php内の一番下に変なコードが書きこまれていました。
ゴキブリを見つけたような勢いで削除してしまったので、どういったコードか覚えていないのですが、荒々しい感じの見慣れない文字列だった気がします。
で、それを消したら直りました。
それを教えてくれたのが、@okajujuさんというかた。本当にありがとうございます。
恐怖!トロイの木馬!自身サイト改ざんを受け、そして解決 | OKAJU@NET | OKAJU@NET
先日、友人から『ブログサイト(OKAJU@NET)へアクセスすることが出来ない』との連絡を受けました …
コメント欄で助言していただき、こちらの記事も見てもしやと思い確認したところ発見となりました。
2度とこういう目には遭いたくないので、ログイン用のパスワードを変更・強化。
そんでfunctions.phpを書き込み不可にし、「AntiVirus」と「Secure WordPress」という2つのプラグインを導入しました。
それぞれテーマが書き換えられたら教えてくれたり、サイトの情報を見えなくしてくれたりと、色々やってくれそうです。
あとはこちらを参考にちまちまいじりました。
つってもプラグインが悪さしてたりする場合もある気がするので、全然無意味だったりするのかなぁ……。またなったら嫌だし、だけど知識無いから、手っ取り早くサーバー移転とかしちゃった方がいい気がしてきた。
前に変な文字化けが起きて、プラグインをインストールしなおしてなおしたんですけど、今回その文字化けがまた起きてそれと同時に変な事になったんです。
なのでまたなんか起こる気がするんですよね……。書き込みできないようにしてるから大丈夫だとは思いますが、怖いです。
ちなみに他のテーマのfunctions.phpは正常でした。モバイルページには例のコードは確認できなかったですし、変なページにトブこともなかったです。
基本で設定してあるテーマを改ざんする何かがあるとしか思えませんが、原因をさぐれるほど知識ないので、とりあえずここで終了。
今度なんかあったら、サーバ移転してやるっ!
stryh
2012/02/09
どうも初めまして。
改ざんされたとのことですが、WordPressのパーミッションは大丈夫でしょうか?
http://bit.ly/A49HkN
こちらを参考にしてみてください。
パーミッションは権限のことです。
ファイルの読み書き、実行権限とうが甘々だと改ざんされやすいです。
パーミションが大丈夫で改ざんされた場合、サーバーが怪しいと思います。
レンタルサーバーの業者に問い合わせる事も考えた方が良いかもしれません。
仮にレンタルサーバー業者側の設定等が良くなく改ざんされた場合、その業者は危険だと思った方が良いと思います。
要はセキュリティーが甘い証拠なのでその状態でサービス提供している事自体おかしいです。
まずはパーミッションをFTP等で確認してみて下さい。
確認できなかったらレンタルサーバー業者に問い合わせです。
念のためkuroji1987さんのPCのウィルスチェックもした方が良いかと思います。
サーバーだけではなくしらずうちにウィルスを送っていた可能性も否定できないので。
では。
Twitter:@saita_ryouhei
PC聚楽
2012/02/13
クロジ様
はじめまして。
駄文ですが失礼します。
繰り返し改ざんされる場合の件ですが、
私の所のRagnite Blueのサイトではfunctions.phpを修正後、新たに書き換えられたのはその後一度有りました。
現在の所、再発はありませんが、プラグイン類が悪さをしているとしか思えず、使っていないプラグインはインストールはされているものの、「停止」状態になっています。
また、上の「stryh」の方がいうように、パーミッションの設定も影響しているでしょう。
自分でゼロから作成するテーマなら良いのですが、どこかから手に入れる無料のテーマファイルにはそのような危険性が有るものもあります。
また、base64にてエンコードされている記述が有るものはあまり利用されない方がよろしいでしょう。
無料テーマファイルの場合header、footer,functions.php内に記述されていたりもしますし、プラグインの場合も同じくどこかに記述されている場合があります。
ただ、全てのbase64エンコードが含まれているファイルが怪しいわけではなく、中にはテーマファイルのfooter部分にbase64でエンコードされたコピーライトが記述されていたりします(テーマ作成者の為)。それでも、そのテーマファイルは使わないようにした方が良いでしょう(個人的な意見として)。
私はWindowsを使っていますが、挙動がおかしくなる場合はセーフモードにて作動させ、挙動がオカシイ部分を治すように、っとする機能と同じく、ワードプレスサイトも一旦TwentyTen、TwentyElevenのデフォルトテーマファイルに戻し、プラグインも全てオフにし、一つ一つチェックするしかない場合もあります。
もちろん、上記のやり方は、ウェブサイトの表示に不都合を与えますが、問題解決の為、一旦入院措置を取ると考えれば良いと思います。
kuroji1987
2012/02/13
PC聚楽さん
コメントありがとうございます。
やはりプラグインが怪しいのですね。このサイトの場合も、新しいプラグインを追加した直後に改ざんされたので……。
base64でエンコードされたものの使用に関しても気を付けたいと思います。勉強になりました。ありがとうございます!