フォーラム

フォーラム » 使い方全般

wp-configを書き換えされた場合の対処方法 (10 件の投稿)

  1. moab
    メンバー
    1 ヶ月前の投稿 #

    はじめまして、moabと申します。WordPressはまだ初心者なので不躾な質問してしまうかもしれませんがよろしくお願いいたします。

    WordPressを使ってブログを作り運営していたのですが突然エラーがで閲覧できなくなりました。
    ここ1ヶ月程設定の変更などは行っておらず、
    ページ別アクセス解析を見たところ以前は「http://moab.jp/blog/」が大差で多かったのが、今回はそれを抜いて「http://moab.jp/blog/wp-admin-ajax.php」が大差で多くなってました。
    あまりphpには詳しくないのでわからないので恐縮ですが、なんとなく不審に思い、wp-configについてのエラーで調べていたところ当フォーラム内で下記の記事を見つけたので、もしや同様の症状なのではないかと疑っています。

    http://ja.forums.wordpress.org/topic/1301?replies=30

    ですが、もし同様の症状だったとして、記事を参考にBase64の部分をデコードしてみることまではやってみたのですが、その後どのようにwp-configを書き換えればいいのかが・・・本当に勉強不足で申し訳ないです。
    一応、wp-config-sample.phpの「eval(base64_decode(...」以下を貼り付け直してみたりしたのですが変わりありません。
    クリーンなwp-configという意味で、新たにWordpressをダウンロードしてそこから取り出したwp-configの「eval(base64_decode(...」を貼り付ければいいのでしょうか・・・?

    エラーメッセージ及び私の環境は以下のとおりです。

    ホスティング: Xserver
    PHP: 4
    MySQL: 5.0.22
    Apache: 1.3.39
    WordPress: 2.8
    OS:WindowsXP
    エラー:
    Fatal error: Cannot redeclare zios() (previously declared in /home/moab/moab.jp/public_html/blog/index.php(1) : eval()'d code:1) in /home/moab/moab.jp/public_html/blog/wp-config.php(1) : eval()'d code on line 1
    発生日時:2009/10/12前後
    ※他のPCでも同様の症状確認済み
    URL:http://moab.jp/blog/

    ちなみにテンプレートは海外からインストールしたものをカスタマイズして使っていました。

    恐れ入りますが原因・対処方法について、ご教授いただけますと幸いです。
    何卒よろしくお願いいたします。

  2. jim912
    メンバー
    1 ヶ月前の投稿 #

    moabさん、こんにちは。

    エラーの内容ですが、
    ziosという関数はindex.phpで定義済みだから、wp-config.phpで定義し直すことはできません。
    というメッセージです。

    つまりは、wp-config.phpだけでなく、index.phpにも同じ改変が加えられているものと思われます。

    原因については、色々可能性はありますが、利用しているテーマもしくはプラグインの中で素行の悪い(あるいは悪意を持った)奴が、ファイルの改変をおこなった可能性が一番高いと思われます。

    対応については、挙げていただいたPHPファイルに不正なコードが埋め込まれるでlilyfanさんがおっしゃっていることがそのまま適用できます。
    wp-config.phpは、新しくダウンロードしたwp-config-sample.phpをベースとしてMySQL、ユニークキー、データベーステーブルの接頭辞の設定のみを現状のファイルから移設すればよいでしょう。

    それから、他のユーザーさんのためにも、利用しているプラグイン・テーマ(入手先もあわせて)を全て挙げて頂けると助かります。

  3. shokun0803
    メンバー
    1 ヶ月前の投稿 #

    一応、wp-config-sample.phpの「eval(base64_decode(...」以下を貼り付け直してみたりしたのですが変わりありません。

    そもそもwp-config-sample.phpにeval(base64・・・の記述なんてありましたか?それってダウンロードしたwordpress自体が汚染されていませんか?どちらからダウンロードされたものでしょう?

  4. moab
    メンバー
    1 ヶ月前の投稿 #

    jim912さん、shokun0803さんご返信ありがとうございます。

    XSERVERに問い合わせたところ、以下のファイルが書き換えられているため、アカウント上へ不正アクセスが行われ、不正なファイルをアップロードされている危険性があると言われました。そして、WEBアクセス制限をかけられることとなりました。
    FTP上のデータの全削除しないと解除していただけないようです。。。!

    wp-config.php
    wp-config-sample.php
    index.php
    wp-settings.php

    >jim912さん
    テンプレートは海外ものと書いたのですが、確認したところ、以下でダウンロードしたものでした。
    ただ、テンプレートやプラグインが原因ではない可能性も在るようなのでちょっとここで挙げてしまっていいのか悩みますが・・・。あくまでも参考ということで。。。プラグインについてはちょっと入手先は失念いたしました。ご了承ください。

    black-n-white
    http://wordpress.org/extend/themes/black-n-white
    stats
    tomorrow
    http://wordpress.org/extend/themes/search.php?q=tomorrow
    小粋空間
    http://www.koikikukan.com/archives/2007/02/05-000205.php

    contact-form-7
    http://ideasilo.wordpress.com/tag/contact-form-7/
    counterizeii
    http://wordpress.org/extend/plugins/counterizeii/
    feedlogger
    realtime-calendar
    nofollow-free
    sidebar-photoblog
    lazyest-thumbs-slideshow

    ちなみに、、同サーバ上でXOOPSもインストールしていたのでそちらにも原因があるかもしれないようです。。。

    >shokun0803さん
    WORDPRESSはXSERVERで自動インストール機能があったので、それを利用しました。

    今後はとりあえず、XSERVERの指示通りにやって、どうなるか・・・という形ですね。。。
    ご助言ありがとうございました!!
    その後また書き込みします。

  5. moab
    メンバー
    1 ヶ月前の投稿 #

    少し気になったのですが、
    XSERVERから、私のPCがウィルスに感染しているために今回のファイル改ざんが行われた可能性もある、と言われました。
    しかし、私のPCは今のところ正常で、ウィルスソフトでスキャンしましたがウィルスに感染した様子もないのですが、この可能性ってあるのでしょうか。。。?

    また、今後このようなことが起きないためにどういった対策をすればよいのでしょうか?
    もしかしてレンタルサーバを変えた方がいいのでしょうか。

    あまり今回のことが起きた原因が思い当たらなくて・・・。

    色々と無知で申し訳ないです。
    何卒よろしくお願いいたします。

  6. jim912
    メンバー
    1 ヶ月前の投稿 #

    moabさん、こんにちは。

    XSERVERから、私のPCがウィルスに感染しているために今回のファイル改ざんが行われた可能性もある、と言われました。
    しかし、私のPCは今のところ正常で、ウィルスソフトでスキャンしましたがウィルスに感染した様子もないのですが、この可能性ってあるのでしょうか。。。?

    もちろん、ウィルススキャン未定義のウィルスに感染し改ざんされているということはなくもないです。ただし、ローカルPCに感染したウィルスなどがPHPファイルの書き換えてとかいった少々非効率的なやり方というのは、限りなく低いと思います。

    防止策としては、WordPressのプラグイン、テーマであれば、公式ディレクトリに掲載されていて、なおかつそれなりにダウンロード数が多いものは安全性が高いといえます。
    それから、X SERVERのPHP実行ユーザーが何になっているかにもよるのですが、ファイルの書き込み権限などは、必要なもののみにしておくと改ざんされる可能性も抑えられます。

    今回の件の原因がレンタルサーバ側にある可能性は低いので、特に不満がなければ乗り換える必要もないかと思います。

    テーマ、プラグインについては、ちょっと見てみようと思います。

  7. shokun0803
    メンバー
    1 ヶ月前の投稿 #

    WORDPRESSはXSERVERで自動インストール機能があったので、それを利用しました。

    これが事実であり、かつ

    一応、wp-config-sample.phpの「eval(base64_decode(...」以下を貼り付け直してみたりしたのですが変わりありません。

    これが改ざんされたwp-config-sample.phpでないとしたら、自動インストールそのものに暗号化されたコードが埋め込まれていることになりますが?

    自動インストール後に、全ファイルをダウンロードして、かつその後全ファイルをアップロードしなおしたというのであれば、自PCで何らかの感染を起こしたと考えられます。
    また、上記全ファイルのアップロードを行ったことがないのであればサーバー上で何らかの改ざんが行われた可能性があります。
    両方に該当しないとなれば自動インストールのファイルに最初から暗号化コードが埋め込まれている可能性も否定できません。

    クリーンなwp-configという意味で、新たにWordpressをダウンロードしてそこから取り出したwp-configの「eval(base64_decode(...」を貼り付ければいいのでしょうか・・・?

    前回も申し上げましたが、wp-configに暗号化されたコード(eval(base64_decode)という記述は最初からないはずです。
    テーマなどのfooter.phpなどに作者が削除されたくない広告情報として暗号化したコードを埋め込んでいたということは過去にもありましたが、そもそも暗号化してまで載せる必用はないので「暗号化されたコードを含むテーマは使用しないほうが良い」という結論に達しているはずです。
    ましてや、wp-configに暗号化コードを含めて、evalでphpコードとして実行しようとしているなんて、ウイルス活動以外の何者でもないように感じますが?

    自動インストールでwp-config-sample.phpに最初から暗号化されたコードが含まれているのか、いないのか確認はできないのでしょうか?

  8. moab
    メンバー
    1 ヶ月前の投稿 #

    >jim912さん
    ご返信ありがとうございます。
    ローカルからの感染の可能性は低いのですね。少し安心しました。
    また、防止策のご教示ありがとうございました。とても参考になります。
    今後はテーマ、プラグインのダウンロード先、PHPの書き込み権限等に注意しようと思います。考えてみればPHPのパーミッションに関しては少々甘い設定があったかもしれません。
    XSERVERには今回の件でも迅速に対応、返信いただけたという点で不満はないので、原因がサーバ側にある可能性が低いとの事実は正直嬉しいです。引き続き利用しようと思います。

    >shokun0803さん
    ご返信ありがとうございます。
    サーバ上の全ファイルを削除し、XSERVERにかけられたWEBアクセス制限が解除されたのでWORDPRESSを再度自動インストールを行いました。
    サーバ上の「wp-config-sample.php」及び「wp-config.php」をローカルにダウンロードし、確認したところ、以前書き込んだ、暗号化されたコードらしきもの(eval・・・のようなコード)は含まれていませんでした。

    全ファイルのアップロードも行ったことはなかったので、サーバ上で改ざんされた、ということになるのでしょうか。。。

  9. shokun0803
    メンバー
    1 ヶ月前の投稿 #

    全ファイルのアップロードも行ったことはなかったので、サーバ上で改ざんされた、ということになるのでしょうか。。。

    自動インストールでパーミッションがどのように設定されるのか分かりませんが、自動インストール直後(たぶん今の状況)のwp-config-sample.phpのパーミッションが何になっているのか確認してみてください。

    wp-config.phpに関してはwp-config-sample.phpを元に生成されるのでパーミッションが書き込み可能な状態になっていても不思議ではありませんが、wp-config-sample.phpが自動インストールの時点で書き込み可能になっているようでは心配です。

    所有者も自動インストールならapachなどになっているかもしれませんが、例えば感染したプラグインやテーマなどからコアファイルが感染するようなサーバーの設定になっているのだとすれば、XSERVERに対応をお願いする必要があるかもしれません。自動インストールを行うユーザーがサーバーやphpに長けているとは思えませんから。

  10. moab
    メンバー
    1 ヶ月前の投稿 #

    >shokun0803さん

    ご返信ありがとうございます。
    wp-config-sample.phpのパーミッションを確認したところ、「644」となってました。
    wp-config.phpは「600」でした。
    これは問題あるのでしょうか。
    また、所有者、というのはどこを確認すればよいのでしょうか・・・。

    PHPに関しては全く不案内で・・・申し訳ありません。

返信

ログイン しなければ投稿できません。

About this Topic

Tags