wordpress で運用していたブログがハッカーに、改ざんされてしまいました。

ハッカーの名前 → HaCked By Dr.SaFa7 & Shi6aN 7rB
このブログは以前にも改ざんされたのですが、その際は管理ページにログインできたので、テーマを変更したら、ブログは元通りになったのですが、今回はダメでした。
（パスワードを変更しなかったのが、いけなかったのか・・）

googleで検索すると、同一人物（もしくは組織）に侵されたサイトが多数あることがわかりました。
ハッカーの名前（らしきもの）を、googleで検索して、解決策を探そうと思いましたが、検索結果には延々とハックされたサイトが続き、解決策にたどりつけません。
これだけ多くのサイトが同様の被害を受けているとすると、何かこの被害に特化した解決策があるのではないかと思うのですが、もし解決策を掲載しているサイトがあったら、教えてください。

回答の条件

1人5回まで
13歳以上

登録：2012/01/23 10:22:36
終了：2012/01/30 10:25:03

No.1

TransFreeBSD284982012/01/23 13:04:32

50pt

質問の件に特化したものなのか分かりませんし、一部よくわからないところもありますが、基本的には一般的な対処方法が書かれており、質問の件にも当てはまると思うページがありました。
http://technicalconfusion.com/wordpress/hacked-wordpress-site.php
以下適当な抜粋意訳解説もどき詳しくは元記事参照の事。

The first thing you do, and this goes for a regular static html site as well; is change all passwords!

まずはすべてのパスワードを変更しろというところですか。

Wordpressのパスワード
サーバのコントロールパネルとかFTPのパスワードとか
Mysqlのパスワード、ユーザー名、データベース名も（wp-config.phpにも反映させる）

パスワードのリセット方法などは以下、またはホスティング屋さんのマニュアルなどで。

Check themes

テーマのチェック。以下の文字が含まれていないか、ポストされた画像も含め調べろ、と言っているけれど、質問の件でも該当するかは知らない。

cyBpdCBzaG91bGQuIEl2ZSBkb25lIHRoZSBzYW1lIHRoaW5nIGZvciBQcm

Check htaccess -

.htaccessファイルを調べろ、って話かと思ったらパーミッションの事が書いてある。どっちも必要だと思う。

Check files

とりあえず、日付を確認して変更されているものがないか確認しろだそうだ。

Check database file

データベースのデータをエクスポートしろ、最初の50行がどうこう言ってる。
エクスポートはサーバのコントロールパネルとかphpmyadminとかで。

Begin cleanup

使ってるプラグインのリスト作成
使ってるテーマのリスト作成
すべてのファイルのダウンロードと変なコードが無いかのチェック
データベースのエクスポート（上と被ってる？）と変なコードがないかのチェック
使ってるWordPressのバージョン番号

Once you have your WordPress install cleaned up

クリーンなテーマのアップロード
クリーンなWordPressのアップロード
クリーンなプラグインのアップロード
必要ならデータベース（のバックアップの）インポート

WordPressのバージョンは最新のものを使うのが重要。
書いてなかったけど、テーマやプラグインも出来るだけ最新のを新たに取り寄せた物を使った方が良いと思う。

Security plugins to use

セキュリティプラグインが列挙されている。

回答ありがとうございます。このページは私も参照していましたが、ご丁寧にありがとうございました。

2012/01/23 13:57:59

引き続き、回答をお待ちしております。

2012/01/23 13:58:12

No.2

taroe614572012/01/28 17:16:28

50pt

回答は何を期待されてるのでしょうか？

1.改ざんされたサイトの復旧
2.改ざんされないための方法

まず、２に関しては
wp-admin以下をhttaccessでパスワード保護すべきだと思います。
ほかにもいろいろあるのですが、昔からほぼ同じなんです。
以下の記事が良くまとまっていてお勧めです。
http://coliss.com/articles/blog/wordpress/2853.html

1に関しては
データだけ取り出して、再構築するのが妥当だと思います。
FTPのパスワード、Mysqlのパスワードは変更できにくいですので、
FTPでもアクセス可能でしょうし、MySQLのデータも取得可能だと思います。

管理画面にアクセスできるのなら、記事をすべてエクスポートして
あとは、FTPで画像とかテンプレート関係を取り出して

そこから再構築すればよいと思います。

＞（パスワードを変更しなかったのが、いけなかったのか・・）
相手は自動でやってるから

Jack 2012/01/23 21:39:11

wordpressをトップディレクトリーに入れていたのですが、index.htmというファイルが生成されていて、example.com にアクセスすると、index.htmが表示されていました。
.htaccess ファイルに、index.htmが表示されるようにコードが書かれているのではないかと思い、.htaccessを探したのですが（サーバーのコントロールパネル上で検索すると.htaccessが存在するのはわかるのですが）何故か（意図的に？）トップディレクトリーに.htaccessが表示されません。
FTPでディレクトリーにアクセスしてみたのですが、こちらはindex.htmどころか、入っているはずの全てのファイルが表示されません。（意図的かどうかわかりません。）
プラグインとテンプレートを全て削除して（テンプレートは新しいテンプレートを一つダウンロードして使用）、index.htmを削除したら、サイトは表示されるようになったのですが、このサーバーはマルチドメインで利用していて、他にも３つサイトを運用しているのですが、そのうち1つはindex.htmファイルが存在せず、現在も改ざんされた状態です。
rouge_2008 2012/01/24 06:35:24

サーバーの設定(httpd.conf等)で「index.html」や「index.htm」の優先順位が「index.cgi」や「index.php」よりも高くなっている可能性もありますから、必ずしも「.htaccess」に記述されているとは限りません。
FTPソフトでの接続自体は出来たのでしょうか？
ソフトは何を利用したのでしょう？
接続は完了しているのに、ファイルの一覧が取得できないという場合は、FTPソフトの設定を確認してみてください。
接続先のサーバーによって設定は異なりますが、LISTコマンドを使うか、パッシブ(Passive)モードに関する設定を変更するといいようです。

・FFFTPの場合
http://www.findxfine.com/others/496.html

※FileZillaとDreamweaverは、LISTコマンドを使用しているようです。(※リスト取得コマンドの設定はありません。)
※セキュリティの為には、FileZillaでSFTPあるいはFTP over SSLで接続した方がいいです。(※サーバーによっては、どちらか片方、あるいは両方未対応の場合もあります。)
TransFreeBSD 2012/01/24 12:41:23

状況がつかみ切れていませんが、サーバのコントロールパネルとftpの食い違いは気になりますね。
1.ftpクライアントソフトの設定による、または別ディレクトリを見ていたなどの勘違い
2.サーバのコントロールパネルが改変されている
3.ftpデーモンが改変されている
もう一度よく落ち着いてftpで（もしくはftpsでもsftpでもscpでも）エラーとかディレクトリの位置とかファイルの表示設定（ピリオドで始まるドットファイルを不可視にするオプションとか）とかをチェックしてみてください。そういった1によるものならOKです。
もし、2や3によるものである場合、既に管理者権限を得ている、つまりサーバ全体が乗っ取られている可能性があります。
その場合はOSの再インストールがら始めた方が良いかと思います。
TransFreeBSD 2012/01/25 20:20:33

こんな記事が上がってました。
http://weble.org/2012/01/23/tampering
ご参考まで。