サイトが改竄されてアクセスすると勝手にリダイレクトされる…

つい最近、知り合いの方からWordPressでつくっているホームページが勝手にリダイレクトされるから見てほしいとの依頼が…
確認してみると、多くのファイルが改竄されており、海外のバイアグラとか薬の売っているサイトに飛ばされたりしていました…
とりあえずの解決までの流れを報告したいと思います。

まずは改ざんされているファイルの確認

WordPress内の全てのファイルを目視で確認するなんでできないので、プラグインを使用して確認しました。
Anti-Malware Security and Brute-Force Firewall
この神ってるプラグインをインストールしてサイト内全体をスキャンします。

キーが必要になるので「Get Free Key」をクリックしてメールアドレスを送信します。
詳しくは下記サイトをご確認ください。
http://www.arecordplayer.com/wordpress/beat-back-doore-malware-filesman/

で、確認してみると・・・

とてつもない量のファイルが改竄されていました…


こんな感じで怪しいコードが・・・

改ざんファイルの置き換え

とりあえず、ファイルの場所を確認して新しい改竄されていないファイルに全て置き換えるとリダイレクトは確認されなくなりました。

その他、一緒にやったこと

一緒に、パーミッションの設定を変えたり、プラグインを追加しました。
プラグインは下記の2つを追加しました。

CrazyBone

CrazyBoneは管理画面のログイン履歴を記録したり確認したりできるWordPressのプラグインです。
ログインのエラーもIPアドレスなど履歴が残るので、不正にアクセスしようとしている履歴を発見することができます。

こんな感じで表示されます。

WP-Ban

WP-Banは指定したIPアドレスをブロックするWordPressのプラグインです。

このプラグインで鬱陶しいアクセスはブロックすると良いかと思います。
だた、このプラグインの注意点は…

こ接続元IPアドレスなどを利用してブロックの処理を行っているので、アクセス拒否したIPアドレスと同じIPアドレスを利用しているネットワーク内のユーザーも接続できなくなります。

詳しい使い方は、下記URLをご覧ください。
http://netaone.com/wp/wp-ban/

修正して1日で新たに改竄被害に・・・

翌日、サイトを確認していみるとまたリダイレクト・・・
なぜ?!と思い前日に設置したCrazyBoneのログイン履歴を見てみると・・・

普通にログインされてる!!!!

パスワードを確認すると・・・数字だけのパスワードになっていました…
すぐに大文字・小文字・数字・記号を混ぜた強固なパスワードに変更して、再度サイト内スキャンをかけて改竄ファイルを修正。

これで、落ち着きました。

まとめ

パスワードって大事ですね。
超かんたんなパスワードにしている方、いませんか?
大変なことになる前に、パスワードは強固なものに変更しましょう!!

そんな、パスワード思いつかない!!って方はパスワードを生成するツールもありますのでご利用してはいかがでしょうか?
http://www.luft.co.jp/cgi/randam.php