当Wordpressブログで不正な改変が行われた為、色々と対策に挑戦し、現在は平穏無事だと思う、という内容の記事です。
何が起きたのか
先日より当Wordpressブログにて不審なリダイレクト設定が観測されました。
調査した結果、知らないプラグインが勝手にインストールされ、そのコード(JavaScript)がいわゆる「当選おめでとうございます」なサイトへと転送するようになっていました。
プラグイン名はテキストエディタの「gutenberg」を装ったもの、「Wordpress」に似た名前のもの、などいくつか種類があるようです。
(ちなみにWordpressと各種プラグインの自動アップデート設定、セキュア系プラグイン導入、海外IPからのアクセス禁止設定は攻撃以前より継続して行っていました)
何をしたのか、その結果
1.プラグイン削除
→再度プラグインがインストールされてしまう(失敗)
2.パスワード変更
→再度プラグインがインストールされてしまう(失敗)
3.Wordpress を再インストール、復元、パスワード変更
→再度プラグインがインストールされてしまう(失敗)
4.プラグインを全て削除、その後、アンチマルウェアプラグインを導入し、その設定で厳しく遮断
→何らかのアクセスが遮断されブラックリストへ、その後変化なし(成功)
結局何が起きていたのか
ブラックリスト入りしたIPは自分が借りているホスティングサービス(さくらサーバー)のものだった事(つまり自身でアクセスしているようなものだった事)、加えてWordpress及びホスティングサービス自体へのログイン履歴にも不審なものが無かった点から、phpコードの不正な実行だったのではないかと考えられます。
ログイン履歴は細かく確認していたので、パスワードが漏れた訳ではないという事には薄々気付いていました。(その為、1~3の方法では何となく上手く行かないだろう事は予想できていました。)
外部からの不正なアクセスを全て遮断する事で防止できたことから、恐らく「Wordpressの不正なトークン認証API」めいた何かを使ったアクセスである事が想像できます。
つまり、何らかのプラグインの脆弱性、又は外部連携していた何らかのサービス経由での攻撃だったと考えられます。(WordpressのXML-RPC機能を使っているのではないか[※要検証])
その後
ほぼ毎日プラグインが再インストールされていた事を踏まえると、2日経ってもプラグインが再インストールされない現在は対策が完了されたと考えられます。
今後について
WordPressの静的化 or 使用を諦める事も視野に入れましたが、いったん修復・対策が完了できた為、このまま継続使用の予定です。
この状態でも再度攻撃を受け被害が出た場合は、潔くWordpressの使用を諦めたいと思います。
コメント