WordPress.org

日本語

フォーラム

[閉] サイト改ざん? (138 件の投稿)

  1. angedeverre
    メンバー
    2 years前の投稿 #

    サイトが急に文字化けになり、困っております;;
    Hacked by Krad Xinと黒の上部ツールバーにあり、サイトが改ざんされてしまったのでしょうか?

    私の環境です。
    PHP:バージョン3.4.9 MySQL:バージョン5.1.34
    MySQL の文字セット:UTF-8 Unicode
    使用しているブラウザ名称とそのバージョン (Windows XP Internet Explorer 8)
    WordPress 3.6 を使用中
    使用テーマ http://www.dessign.net/ultra-grid-theme/
    Ultra Grid Themeを利用しています。
    http://angedeverre.info/ 私のサイトです。
    (世話役追記:改ざんされた可能性のあるサイトです。アクセスされる方は十分にご注意ください。)

    直すための参考になるページなどありましたら教えてください><

    宜しくお願いいたします。

  2. 使用テーマは公式からのものでしょうか。
    WordPressでのテーマチェック、ウイルスチェックを行われましたか。

    管理画面内にログイン出来るようでしたら、
    不審な登録ユーザーがないか、確認。
    プラグインを全部向こうにして、デフォルトのテーマに戻してみて下さい。

    また、サーバーもどちらかどうサーバーユーザーへの注意喚起のためにわかるとよろしいかと存じます。

  3. ADRED
    メンバー
    2 years前の投稿 #

    IEのエンコーディングをUTF-8に変更して管理画面にログインできませんか?
    管理画面の「設定」で文字コードが「UTF-7」に変更されているようであれば、
    それを「UTF-8」に戻すことでとりあえず文字化けは解消されると思います。
    合わせて身に憶えのない怪しげなウィジェットがあれば削除してください。

    参考サイト
    http://wordpress.org/support/topic/website-repeatedly-hacked

  4. angedeverre
    メンバー
    2 years前の投稿 #

    お返事ありがとうございます!

    ADRED様が教えてくださった参考サイトの状態と同じでした。
    UTF-7に変更されていたので設定からUTF-8に変更して文字化け改善することができました。
    一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻しました。
    上部の黒のツールバーのサイト名が元に戻りました。
    ウィジェット部分のテキストが削除されていて、新たなコード付きのテキストが追加されていましたので削除することで元に戻りました。

    サーバーはロリポップを使用しています。
    メール連絡をしまして現在返答待ちです。
    不審なユーザーはいませんでした><

  5. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    ハッキングされて改ざんされたことは確実だと思います。ハッカーの犯行声明リストにあなたのサイトが載っています。「R.I.P lolipop part 1」とコメントされているので、おそらく今後もPart2以降でロリポップにインストールされたWordPressへの攻撃を継続する予定なのかもしれません。十分にご注意ください。他の改ざんされたサイトを幾つか確認しましたが、複数のWordPressのバージョンがありテーマもバラバラ(オリジナルを含む)なので、WordPressの特定のバージョンの脆弱性や特定のテーマの脆弱性をついたものではないようです。また、他の改ざんされたサイトのセキュリティチェックをかけてみましたがマルウェアの感染リンクの埋め込みなどは見られず、ハクティビストによる犯行のようです。

  6. kajitani
    メンバー
    2 years前の投稿 #

    私のサイトも同じハッキングの被害にあっています。
    同じくサーバーはロリポップです。

    ・UTF-7に変更されていたのをUTF-8に変更
    ・一般設定のサイトタイトルがHacked by Krad Xinとなっていたのを元のサイト名に戻した
    ・ウィジェット部分のテキストを削除

    上記をしましたが、以下のような警告文がサイト上部に表示され、
    Warning: htmlspecialchars() [function.htmlspecialchars]: charset `UTF-7' not supported, assuming iso-8859-1 in /○○○/wp-includes/formatting.php on line 2751

    さらに数分するとまたサイト名が【Hacked by Krad Xin】に戻り、
    テーマの変更なども動作がおかしいです。

    マルチサイトで運営しており、このハッキングされたサイトが親サイトなのですが、
    やはりwordpressを再インストールするしかないのでしょうか…
    サーバーもロリポップではまだ危険が続くと考えておいたほうがいいでしょうか?

  7. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    > 数分するとまたサイト名が【Hacked by Krad Xin】に戻り、

    非常に重要な情報です。データベースが書き換えられただけかと思いましたが、戻るということはPHPが設置されている可能性もあります。とりいそぎコアファイルが改ざんされていないか確認していただければと思います
    http://ja.forums.wordpress.org/topic/2743

    > やはりwordpressを再インストールするしかないのでしょうか…
    > サーバーもロリポップではまだ危険が続くと考えておいたほうがいいでしょうか?

    今のところなんとも言えませんが、再インストールはあまり意味がないと思います。ロリポップが狙われたのかはまだ分からないので原因が別であれば引っ越しても同じことです。

  8. こちらにリストアップされている攻撃を受けたサイト。
    http://www.hack-db.com/hacker/Krad_Xin/all.html

    いくつかアクセスしてみました。
    文字化けしているのよりログインページをハックされてしまっているのが多いようですね。

    (世話役追記:改ざんされた可能性のあるサイトが掲載されています。アクセスされる方は十分にご注意ください。)

  9. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    あ〜、URLは控えたんですけどねぇ…。ハックされたリンク先が安全である保障はないので、クリックされる方は十分にご注意ください。

  10. hissy さん
    お気遣いだとは思ったんですが、申し訳ありません。

    興味本位は危険含みですが、検索でも随分とあります。
    バックアップから対策済みのサイトだと思えるもの。
    気がついていないのか、
    あるいはハッキングに気が付かないで孤軍奮闘しているかとおもいます。
    そうしたサイトオーナーからの情報が集まればと思います。

    ※わたしはリンクのクリックを避け、URLだけを直打ちでアクセスしてどういう感じなのか観てみました。

  11. angedeverre
    メンバー
    2 years前の投稿 #

    改ざん前のワードプレスは最新バージョンで
    管理者名はadmin以外の名前、パスワードも長めに設定していました。
    ロリポップの自動インストールを使用してワードプレスを立ち上げています。
    接頭辞はwp_数字となっています。

    改ざんにあってからサイトの管理者名の変更、パスワードの変更、FTPのパスワードの変更、
    ロリポップのログインパスワードの変更を行いました。
    FTPとロリポップのパスワードがロリポップからはじめに送られてきたパスワードのままでした^^;凄く反省しております。

    現在ロリポップに現状を問い合わせています。

    今後セキュリティー対策としてどのような事をしたら良いのでしょうか?
    一度ハッキングにあったサイトは次回も狙われやすいのでしょうか?
    接頭辞は変更した方が良いのでしょうか?

  12. eott
    メンバー
    2 years前の投稿 #

    私のサイトも管理画面が文字化けし、Hacked by Krad Xinと黒の上部ツールバーにあります。

    普段はChromeを使っているのですが、いまFirefoxで確認をしたところ文字化けは解消されていました。
    しかし、Hacked by Krad Xinと黒の上部ツールバーにある状態は変わりません。

    いかんせん、知識がないので、まず最初にとっておきべき対策などをご教授いただけると幸いです。
    よろしくお願い致します。

  13. gatespace
    世話役
    2 years前の投稿 #

    ※このスレッドを見た閲覧者がハッキングされたサイトへのアクセスを防ぐため、該当しそうなリンクは全て削除します。(テキストとしては残します)
    ご了承ください。

    以降、情報を提供される際はリンクが張られないよう URL を codeボタンで囲むなど、ご配慮ください。

  14. gatespace さん
    お手数かけました。申し訳ありません。

    被害にあっているのはロリポップに集中しているのか、共通点を知りたいところです。

  15. kajitani
    メンバー
    2 years前の投稿 #

    hissyさんありがとうございます。

    上記の方法でExploit Scannerを試してみましたが、
    an error occurred. please try again later.
    と表示されうまく動作しませんでしたので、Wordfence Scanというプラグインを試してみました。

    エラーが出たファイルは以下の通りです。
    Wordfence found the following new issues on "Hacked by Krad Xin".

    Alert generated at Wednesday 28th of August 2013 at 05:07:53 PM
    Critical Problems:

    * WordPress core file modified: readme.html
    * WordPress core file modified: wp-config-sample.php
    * WordPress core file modified: wp-includes/version.php
    * File is an old version of TimThumb which is vulnerable.

    Warnings:

    * Modified plugin file: wp-content/plugins/all-in-one-seo-pack/aioseop_class.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.4.2.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.4.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.1.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.2.php
    * Modified plugin file: wp-content/plugins/exploit-scanner/hashes-3.5.php
    * Modified plugin file: wp-content/plugins/redirection/models/pager.php
    * Modified plugin file: wp-content/plugins/redirection/models/redirect.php
    * Modified plugin file: wp-content/plugins/redirection/readme.txt
    * Modified plugin file: wp-content/plugins/redirection/redirection.php
    * Modified plugin file: wp-content/plugins/redirection/view/admin/group_list.php
    * Modified plugin file: wp-content/plugins/wp-pagenavi/readme.txt
    * Modified theme file: wp-content/themes/birdsite/editor-style.css
    * Modified theme file: wp-content/themes/birdsite/functions.php
    * Modified theme file: wp-content/themes/birdsite/header.php
    * Modified theme file: wp-content/themes/birdsite/images/headers/buna.jpg
    * Modified theme file: wp-content/themes/birdsite/images/shadow.gif
    * Modified theme file: wp-content/themes/birdsite/index.php
    * Modified theme file: wp-content/themes/birdsite/single.php
    * Modified theme file: wp-content/themes/birdsite/style.css

    すみません、よく分からなかったのでエラーメッセージをそのまま掲載します。

  16. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    eottさんもロリポップですか?

    1. 文字化けを戻す
    [ダッシュボード→設定→表示設定]画面で文字コードをUTF-8に戻す

    2. サイト名を戻す
    [ダッシュボード→設定→一般]画面で「サイトのタイトル」をもとに戻す。キャッチフレーズも変わっているかも

  17. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    kajitaniさん

    readme.html, wp-config-sample.php, wp-includes/version.php の通知は、日本語版を使っている(翻訳されている)のが理由で、今回改ざんされたのではないでしょう。

    プラグインの方で "See how the file has changed." リンクをクリックしてどのように変わっていたのか教えてもらえると半分くらい興味本位で知りたいです

  18. riku1014132
    メンバー
    2 years前の投稿 #

    私のブログも被害に遭われた皆さんと同じ状況でした。

    ◆私もロリポップです
    ◆今日の朝に確認したら文字化けしてた
     → UTF-7に変わってたのでUTF-8に戻した
    ◆管理画面のサイト名、キャッチフレーズが皆さんと同じく改ざんされてた
     → 元に戻した
    ◆サイドバー等のウィジェットが全部削除され、代わりにヘンなウィジェットが追加されてた
     → 削除した
    ◆管理者アカウントは「admin」ではなかったが、ドメインから想像しやすい名前にしてた
     → 新たに管理者アカウントを作成し、元のは削除
    ◆パスワードもそれほど単純じゃなかったのに
     → 念のためパスワードも変更

    上記作業の結果、現時点では正常に表示されてます。(ウィジェットは一部復旧できず消えたままですが)

    その他、こちらのページを見て対策したものとして

    ◆プラグイン「Exploit Scanner」でスキャン
     → "Modified core file" と書かれた項目は無し
    ◆ロリポップとFTPのパスワードを私も初期のままにしてたので、変更しました。

    現状はひとまず表示されてますが、最も不安なのは「再攻撃の危険性があるのか」、「何か他にしておくべき対策があるか」です。
    リストアップされた中に自分のを見つけた時は背筋が凍りました。
    引き続きこちらのフォーラムを参考にさせて頂きます。

  19. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    riku1014132さん、報告ありがとうございます。
    一般的にWordPressのセキュリティとしてやっておくべきことはされていると思います。
    これは全くの私見ですが、現時点でのみなさんの報告を総合すると、wp_optionsテーブルの中身しか書き換えられていないため、WordPressが狙われたのは単にユーザーが多いからで、ハッキングを受けたのはMySQLではないかと疑っています。

    1. 再攻撃の危険性はありえます。
    2. 現時点では原因が不明のため明確な対策は立てられません。

    引き続き情報提供を待ちます。

  20. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    そういう意味では、データベースの接頭辞(wp_)を変更されているかどうかの情報を提供していただければ関係あるかも、しれません。kajitaniさんの場合親サイトしかハッキングされていないということですが、子サイトはwp_optionsではなくwp_1_optionsのようになりますからね。あくまで推測です。

  21. lushbear
    メンバー
    2 years前の投稿 #

    私もロリポップでWordpressを使用しています。
    タイトル、文字コードは修正出来ましたが、未だサイトが表示されていません。

    プラグイン「Exploit Scanner」でスキャンしたところ

    hashes-3.6.php missing
    The file containing hashes of all WordPress core files appears to be missing; modified core files will no longer be detected and a lot more suspicious strings will be detected

    このような項目がありました。

  22. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    hashes-3.6.php missing

    残念ながらExploit Scannerは3.6用に更新されていないようです。リンク先のトピックにてtenpuraさんが3.6日本語版用のハッシュファイルを配布されているので、そちらをアップロードしていただければチェックできます。

  23. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    lushbearさん

    > タイトル、文字コードは修正出来ましたが、未だサイトが表示されていません。
    とのことですが、管理画面は正常に表示できるが、サイトは表示できないということでしょうか?真っ白あるいはエラーメッセージが表示されますか?

  24. momo96ch
    メンバー
    2 years前の投稿 #

    皆さんと同じ症状です

    ・ブログタイトル・副題の改ざん
    ・文字化け
    ・個別ページ表示不可

    私もロリポップ(チカッパプラン)でWORDPRESSを使っています。

    というか、3日程前にインストール(最新バージョン)したばっかりです。

    ユーザはadminからドメイン名に変更

    MySQLの接頭辞は(wp_)のまま

    という状態でした。

    1年ほど運営しているXOOPSでは無かったのに・・

    3記事しか投稿していなかったのでDBごと削除して

    ・ユーザー名、パスワード・接頭辞を特定されにくいものに変更
    ・Crazy Bone、Limit Login Attempts、Secure WordPressプラグイン導入
    ・.htaccessでwp-config.phpを保護

    して再インストールしました。

  25. riku1014132
    メンバー
    2 years前の投稿 #

    >hissyさん

    私のMySQL接頭辞は「wp1_」でした。

    >lushbearさん

    私もタイトルと文字コードを修正した時点ではブログが正常に表示されず真っ白のままでした。
    管理画面の外観>ウィジェットを見てみると、自分が設置したオリジナルのウィジェットが
    全て消された状態で、代わって改ざんされたウィジェットが1個だけ登録されていたので
    それを削除するとブログが正常に表示されるようになりました。
    無事表示されるといいのですが…

  26. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    > lushbearさん
    ウィジェットを削除される際は消す前に中身を教えてもらえると参考になりますです

    > riku1014132さん
    情報提供ありがとうございます。ウィジェットがなにやらやらかしてるみたいですね。接頭辞は一応変えてたんですね。

    > momo96chさん
    情報提供ありがとうございました。ユーザー名をドメイン名にするのは推測しやすすぎるので、admin以外で何か関係のない適当な名前にした方がいいと思います

  27. nobita
    メンバー
    2 years前の投稿 #

    Hacked by Krad Xin で検索した日本語サイト3560件のうち
    トップから、9件ドメインを調べてみましたが、すべてlolipopのようですね

    lolipopに、照会して、何らかの回答を得られた人はいますか?

  28. Hijili Kosugi
    メンバー
    2 years前の投稿 #

    私の環境もロリポップで、お世辞にもセキュリティ対策がなされているとはいえず、
    少なくともadminではないくらいですが、特に問題はありませんでした。

    ・ロリポプラン
    ・MySQLサーバは比較的後ろのほう
    ・WP3.5.1
    ・ウィジェットはカテゴリーと最近の投稿くらい(あとSNSリンク用)

    UTF-7形式によるXSSがあるんですね。
    方法としては特定のファイルをUTF-7にして、その脆弱性からXSSを引き起こしたのでしょうか。
    文字エンコーディングが関係するとなると、テーマの問題?

    素人考えの域を出ませんが、できることがありましたらお手伝い致します!

  29. lushbear
    メンバー
    2 years前の投稿 #

    >hissyさん

    ご回答有難うございます。

    申し訳ありませんが、ウィジェットは既に削除してしまいました。。
    ウィジェットの中身はTEXTで、中にスクリプトタグと2行ほどのスクリプトが記載されていました。

    削除したところ無事サイトが表示されました。

  30. Takuro Hishikawa
    世話役
    2 years前の投稿 #

    あくまでハッカー本人の説明を鵜呑みにするならWordPressの問題ではないですね。

    【重要】みなさんwp-config.phpのパーミッションは何にされてますか。
    再発を防ぐため、また今後のハッキングを防ぐため、ロリポップの「サイト改ざんへの対策をお願いいたします」ページの指示に従い、404に設定してください。
    念のためMySQLのパスワードの変更が可能であれば実施してください(ロリポユーザーではないので可能かどうかは分かりません)。

    また、特に下記の点につきましてご注意くださいますよう、お願いいたします。
    - 「.htaccess」ファイルが書き換えられる事例が多発いたしております。
     パーミッションが「604 (rw----r--)」であるかご確認ください。
    - WordPressをご利用の場合「wp-config.php」のパーミッションは「404 (r-----r--)」であるかご確認ください。

    http://lolipop.jp/security/

このトピックは閉じられました

このトピックは閉じられたので返信できません。

このトピックについて