【WordPress悪質改ざん】検索結果クリック後wwwnt.vizvaz.comにリダイレクト問題は.php自動書換スパム

4,890views/投稿 2013-05-31/更新 2014-03-18

いきなり恐い事書きますよ…なぜ発覚したかと言うと当WordPressサイトも感染して改ざんされていたから。。。

それでは、本題です。

要注意WordPress改ざん

WordPress構築サイトで検索結果からクリックしてアクセスする時に、妙なページにリダイレクトする原因と症状と解決対策方法です。検索結果でそれなりに上位表示しているのに、アクセス解析を見ても検索アクセスが全くない状態になっていて気付く場合があります。2013年5月中旬に改竄されたと推測されます。この記事を書いているのは2013年5月31日です。

普通にWordPressを使っている分には全く気付かない(投稿や編集など普通にでき普通にURL通り閲覧もできる)。検索結果からのアクセスが不正に操作されているだけなので気付きにくいという難点を持つ症状です。さくらレンタルサーバーとロリポップ!で改ざんされている当方所有のWordPressブログがありました。当サイトはロリポップ!です。エックスサーバーやCORESERVERは同条件でも無事でした。

原因:

WordPressの.phpファイルのほとんどがスパムアクセスで自動的に<?php箇所を不正に書き換えられている。

症状:

検索結果(SERPs)をクリック
(検索結果文字列は普通通り、さらに順位が下がってもいない)

↓ 一旦リダイレクト
http://kpero.ddns.me.uk

↓ さらにリダイレクト
http://wwwnt.vizvaz.com
(このURLになり下図のページが表示される)

wwwnt.vizvaz.com

平成25年8月30日時点では、
http://302.vizvaz.com
にリダイレクトされていたりするサイトもあります。

 

解決策:

MySQLデータベースはそのままで、他をクリーンにする方法です。

  1. 試しにwp-config.phpを見る(この部分Aのように自動書き換えされてないかCheck)。
  2. wp-config.phpを正す。(この部分Aを削除)
  3. WordPressの独自データ(テーマ等phpファイル全部Checkも)を保存しておく。
  4. WordPressの.phpファイルがパーミッション404(もしくは444)になるように再インストール。
  5. 正したwp-config.phpをインストール階層に404でアップ。
    【追記重要】テーマ、プラグイン等WordPress関連のあらゆる.phpは全て404でアップ。
  6. 検索結果をクリックして治ったかチェック

1. 試しにwp-config.phpを見る

wp-config-xxxxxx

この部分A がスパム書き込みのところで問題の原因箇所。

この部分B はスパムに見えるような文字列ですが、WordPressインストール時に作成されるセキュリティのようで、グチャグチャした文字列でも問題ありません。

wp-config.phpだけではありません、当方の場合.phpファイルほとんどが書き換えされてました。<?php の後がほとんど改ざん書換されてました。第一階層の.phpファイルは全部。wp-adminやwp-includesなどのフォルダ内のphpファイルも全部です。気持ち悪いのでWordPress再インストールしかありません。

2. wp-config.phpを正す。(この部分Aを削除)

<?php の箇所が書き換えられていて wp-config.phpは先頭1箇所だけなので、そこを削除して後でアップするファイルとして別の場所に保存しておきます。

【補足】
MySQLの接続情報は個別な情報になります。自動インストールで情報を管理していない場合はこの接続情報は管理しておくといいでしょう。MySQLデータベース自体はそのまま使うので接続情報だけメモっておくなりした方が良いと思います。

$table_prefix  = 'wp_'; は、MySQLテーブル接頭語情報でデフォルトではwp_です。自動インストールなどで行った場合は当サイトのようにwp3_などに変わっている場合があります。

3. WordPressの独自データ(テーマ等phpファイル全部Checkも)を保存しておく。

wp-content>themes にテーマファイルがあるのでデフォルトテーマや配布テーマをそのまま使っている場合以外はダウンロード保存して改ざん箇所を修正しておきます。事前のクリーンなテーマがローカルにあればダウンロードせず、そちらを使う方が修正するより安全でしょう。当サイトは独自の自作テーマですが、<?php 部分が全部書換られていましたので、必ずチェックします。WordPressデフォルトphpファイル以外も.phpファイルは書き換えられていたと言う事です。

wp-content>uploads に画像などのアップロードしたファイルがあるので、ローカルに保存しておきます。

wp-content>plugins プラグインももちろん怪しいので使っているのをメモしておき、後で新規にインストールし直すことにします。
[追記] プラグインはWordPress管理画面から普通にインストールするとパーミッション644になってしまい再度改ざんされるので、プラグインのサイトからダウンロードして、必ずパーミッション404になるように後でアップします。何を使っていたかメモして把握しておきます。

4. WordPressの.phpファイルがパーミッション404(もしくは444)になるように再インストール。

使っていた個別データは確保できたので、.htaccessやその他WordPress以外のデータは残してWordPressシステムデータを全部サーバーから削除します。

WordPress公式サイトより最新のWordPressをダウンロードします。

自動インストールだとパーミッションが644や666なので、手動でWordPressをアップロードして再インストールします。FFFTPだと拡張子.phpをすべて404でアップロードすることができるので便利です。FFFTPはWindows無料ソフトです。Macしか持ってない人はアップロードした.phpファイルのパーミッション変更するのは大変ですし漏れがありそうですが、レンタルサーバーのファイルマネージャーなどからも変更できます。

php404

FFFTP
オプション→環境設定→転送3→追加→

「ファイル名」
*.php

「属性(A)」
404

と入力して、OKをクリック。こうすると.phpファイルを全部パーミッション404でアップロードできます。OKでオプション画面を閉じます。

WordPressファイルを全てアップロードします。全てアップロードした後に.phpファイルを右クリックして、属性変更を見ると404になっていることがわかります。

5. 正したwp-config.phpをインストール階層に404でアップ。
【追記重要】テーマ、プラグインあらゆる.phpは404でアップ。

wp-config.phpはインストール設定時に生成されるものなので、存在していません。

2のところで正したwp-config.phpをインストール階層にパーミッション404に必ずなるようにアップロードします。

パーミッションを404にしてあるので、上書きアップロードができません。再アップロードしたい場合はサーバー上のwp-cofig.phpを一度削除すればアップロードできます。

3のところで保存しておいたuploadsフォルダの画像ファイルをアップロードします。そして、テーマは.phpがパーミッション404になるようにアップします。

http://あなたのドメイン.com/wp-admin/

にアクセスします。最新のWordPressを使っていた場合そのまま今まで通り管理画面にログインできます。古いバージョンのWordPressを使っていた場合は、データベースの更新をしますか?と聞かれる場合があるので、その時は「WordPressデータベースの更新」をクリック→「続ける」をクリックして進みます。

メモしておいた使っていたプラグインを全て再インストールして戻します。
[追記] WordPress管理画面から普通にプラグインをインストールしてはダメで、パーミッションが644になってしまい、また改ざんされます(当方の場合その間1日で再度改ざんされてました)。配布サイトからダウンロードして、必ずパーミッション404になるようにアップします。アップロード先は、wp-content>pluginsフォルダ内になります。

以上で完了です。

備考WordPressデータベース更新

どこにも書いてなかったの急いで書きました。WordPress改ざんを発見して急いで解決方法をエントリーせねばと。情報を探している時に見つけた「wwwnt.vizvaz.com」と検索して出て来た2ちゃんねるの書き込みにある
【花巻市定住交流センター なはんプラザ nahan-plaza.jp】
このサイトは、ほぼ間違いなくこのWordPressサイトの検索結果自動リダイレクトの当問題に該当していたので、メール連絡しました。多分、感染して書き換えられてる可能性がありますよと。

あなたのWordPressサイトが改ざんされ、かつ検索結果がそうなっていないか確認するには、サイト名で検索して自分のサイトの検索結果をクリックしてみてください。ウィルスに感染して書き換えられてなければ、問題なくサイトが表示されます。または、site:http://あなたのドメイン.com で検索すると検索エンジンにインデックスされている全ページが出るのでその検索結果をクリックしてみます。

リダイレクトされることなく、通常のようにアクセスできるとしても.phpファイルのパーミッションが644や666になっていれば404に変更した方がいいでしょう。また、.phpファイルを開いてみて、変な書き換えがされていないかチェックしてみてください。特にWordPressを自動インストールでもほとんどのレンタルサーバーは644ですのでしっかり404にして、手動でアップロードして作成したサイトもパーミッションをしっかりチェックしてみてください。.phpファイルを全部パーミッション404にしましたが、問題なくWordPressは機能している感じです。

また、当サイトが独自テーマだから改ざんされたのでは?と思われるかも知れませんが、WordPress.orgオフィシャルのテーマTwenty Twelveでも当所有のブログは感染しているサイトがありました。

ブラウザの問題でもありません。IE、Chrome、Safari、Firefox、Opera、Androidブラウザ、iPhoneのSafariと全部リダイレクトしたので、ブラウザは関係ありません。

6. 検索結果をクリックして治ったかチェック

最後に、この再インストールをすると直後から検索結果からのリダイレクト症状がなくなり元の正常な状態に戻ります。

再クロールされて正しく再インデックスされ直すのを待つ必要があるのかと思ってましたが、直した直後に治ります。

直したつもりだけど今度は、http://mpap.ddns.me.uk や http://bwakq.myz.info にリダイレクトされるという場合は、全ての.php改ざんファイルを直し切れていない可能性があります。

[その後の反省点] プラグインをWordPress管理画面からインストールしない

やれやれ、これで治ったと思った翌日のことです。何とまた検索結果からクリックするとリダイレクトされました。。。あれあれ?と原因を追求したら、メモしておいたプラグインを新規にWordPress管理画面からインストールしたのが問題でした。管理画面からインストールしたプラグインのphpファイルの<?php の後にまたあの改ざんの文字が刻印されていたのです。確かにプラグインを新規インストールした直後は問題なくリダイレクトはされなかったのですが、すぐにまた改ざんされたということになります。

その間、約1日。

ちょっとビックリですが、文中に[追記]してあるように、とにかくWordPress関連の全てのあらゆる.phpファイルのパーミッションが404になっていないとダメなのです。WordPressからプラグインを検索してインストールすると644になってしまうので、プラグインのサイト表示から配布サイトに行けばダウンロードできます。プラグインは.phpファイルで構成されているので、改ざんされますから、FFFTPで404になるように慎重にアップして今後プラグインは管理画面からは何もインストールしないことですね。テーマをそんなにコロコロ変える人はいないと思いますが、テーマも管理画面からは直接インストール追加してはダメということで、必ずパーミッション404になるようにします。

WordPressバージョンアップ

パーミッション404なので書き込みや上書きができません。管理画面からWordPressのアップデートが出来なくなります、プラグイン、テーマも同様です。安全といえば安全ですが、やはり毎回このようにFTPでWordPressファイルを入れ替えるのは大変ではあります。

警察庁発行の[PDF] ウェブサイト改ざん事案の多発に係る注意喚起について

関連おすすめ記事