「by TheWayEnd」によるクラック・改竄!WordPressは注意!

いやーびびった。

お客様のサイトが突然
by TheWayEnd」と表示されるようになった。

CMSとしてWordPressを入れていたので
WordPressの設定ミスか?と思ったけれども
先日、チェックしたばかりだ。

嫌な予感がしたので
「by TheWayEnd」について
グーグル先生に聞いてみたところ
クラッカーによるクラックだった…。

よりによって休日に…。

やむを得ないが、システム担当者に連絡して
一緒に出勤、直ちに修正。

そして今に至る…。

本件についてメモの意味も込めて以下に記す。

◯by TheWayEndとは?

よくわからんがクラッカーが
クラックの痕跡として残すキーワード。

以前から多発しているようで
今もなお、改竄は起きている。

↓参照
JPドメイン Web改竄速報
http://izumino.jp/Security/def_jp.html

◯何が起きたの?

サイトにアクセスすると
「by TheWayEnd」と表示されるようになった。

◯原因は?

WordPressを導入していたのだが
そのシステムの「wp-config.php」の中身が
「by TheWayEnd」と書き換えられていた。

◯対処方法は?

「wp-config.php」を元に戻して終わり。
他に改竄はない模様。ウィルスチェックもした。

◯今後どうすればいい?

・FTPパスが漏れたか、総当たりで侵入された可能性があるのでFTPパスワードの変更

・念のためFTPにおいて特定のIPアドレスからのみアクセスを許可するように変更

「.ftpaccess」ファイルを用意し下記のように記述。

<Limit All>
Order Allow,Deny
Allow from ***.***.***.***
Allow from 127.0.0.1
Deny from all
</Limit>

***.***.***.***がIPアドレス。
IPを間違えるとアクセスできなくなるので慎重に。

また、WordPressの特定のファイルが狙われているので
WordPressを使用している人は注意。

まあ、WordPress以外でも被害が出ているみたいですけど・・・。

◯ついでに

名誉のために書いておくけれども
うちの会社ではあらゆるセキュリティー対策は行っている。

ウィルス・スパイウェア・フィッシング対策はモチロンのこと、
外部からの社内ネットワークへの侵入は不可能。
(これでダメってことならどーしよーもねーやー)

だから、お客様のPCからFTPパス漏れた疑いが高い…。
(FTPパスの総当たりの可能性もあるけど)
後日、お客様のPCのセキュリティについて伺う予定。

土曜日オワタ\(^o^)/

関連する記事

投稿者:

graygoo

こんなやつです

“「by TheWayEnd」によるクラック・改竄!WordPressは注意!” への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です