ハッカーの名前 → HaCked By Dr.SaFa7 & Shi6aN 7rB
このブログは以前にも改ざんされたのですが、その際は管理ページにログインできたので、テーマを変更したら、ブログは元通りになったのですが、今回はダメでした。
(パスワードを変更しなかったのが、いけなかったのか・・)
googleで検索すると、同一人物(もしくは組織)に侵されたサイトが多数あることがわかりました。
ハッカーの名前(らしきもの)を、googleで検索して、解決策を探そうと思いましたが、検索結果には延々とハックされたサイトが続き、解決策にたどりつけません。
これだけ多くのサイトが同様の被害を受けているとすると、何かこの被害に特化した解決策があるのではないかと思うのですが、もし解決策を掲載しているサイトがあったら、教えてください。
質問の件に特化したものなのか分かりませんし、一部よくわからないところもありますが、基本的には一般的な対処方法が書かれており、質問の件にも当てはまると思うページがありました。
http://technicalconfusion.com/wordpress/hacked-wordpress-site.php
以下適当な抜粋意訳解説もどき詳しくは元記事参照の事。
まずはすべてのパスワードを変更しろというところですか。
パスワードのリセット方法などは以下、またはホスティング屋さんのマニュアルなどで。
テーマのチェック。以下の文字が含まれていないか、ポストされた画像も含め調べろ、と言っているけれど、質問の件でも該当するかは知らない。
cyBpdCBzaG91bGQuIEl2ZSBkb25lIHRoZSBzYW1lIHRoaW5nIGZvciBQcm
.htaccessファイルを調べろ、って話かと思ったらパーミッションの事が書いてある。どっちも必要だと思う。
とりあえず、日付を確認して変更されているものがないか確認しろだそうだ。
データベースのデータをエクスポートしろ、最初の50行がどうこう言ってる。
エクスポートはサーバのコントロールパネルとかphpmyadminとかで。
WordPressのバージョンは最新のものを使うのが重要。
書いてなかったけど、テーマやプラグインも出来るだけ最新のを新たに取り寄せた物を使った方が良いと思う。
セキュリティプラグインが列挙されている。
.htaccess ファイルに、index.htmが表示されるようにコードが書かれているのではないかと思い、.htaccessを探したのですが(サーバーのコントロールパネル上で検索すると.htaccessが存在するのはわかるのですが)何故か(意図的に?)トップディレクトリーに.htaccessが表示されません。
FTPでディレクトリーにアクセスしてみたのですが、こちらはindex.htmどころか、入っているはずの全てのファイルが表示されません。(意図的かどうかわかりません。)
プラグインとテンプレートを全て削除して(テンプレートは新しいテンプレートを一つダウンロードして使用)、index.htmを削除したら、サイトは表示されるようになったのですが、このサーバーはマルチドメインで利用していて、他にも3つサイトを運用しているのですが、そのうち1つはindex.htmファイルが存在せず、現在も改ざんされた状態です。
FTPソフトでの接続自体は出来たのでしょうか?
ソフトは何を利用したのでしょう?
接続は完了しているのに、ファイルの一覧が取得できないという場合は、FTPソフトの設定を確認してみてください。
接続先のサーバーによって設定は異なりますが、LISTコマンドを使うか、パッシブ(Passive)モードに関する設定を変更するといいようです。
・FFFTPの場合
http://www.findxfine.com/others/496.html
※FileZillaとDreamweaverは、LISTコマンドを使用しているようです。(※リスト取得コマンドの設定はありません。)
※セキュリティの為には、FileZillaでSFTPあるいはFTP over SSLで接続した方がいいです。(※サーバーによっては、どちらか片方、あるいは両方未対応の場合もあります。)
1.ftpクライアントソフトの設定による、または別ディレクトリを見ていたなどの勘違い
2.サーバのコントロールパネルが改変されている
3.ftpデーモンが改変されている
もう一度よく落ち着いてftpで(もしくはftpsでもsftpでもscpでも)エラーとかディレクトリの位置とかファイルの表示設定(ピリオドで始まるドットファイルを不可視にするオプションとか)とかをチェックしてみてください。そういった1によるものならOKです。
もし、2や3によるものである場合、既に管理者権限を得ている、つまりサーバ全体が乗っ取られている可能性があります。
その場合はOSの再インストールがら始めた方が良いかと思います。
http://weble.org/2012/01/23/tampering
ご参考まで。