ショップサイトがゾンビ化！！

アマデウスクラシックスのショップサイトが、改ざんされていました。このままだったら「サービス運用妨害攻撃」の加担をして罪に課するところでした。
見るからに改ざんされています。

偽装潜入

画像ファイルを装ったプログラム。
.htaccess には、それに指示をするコードが加えられていました。
AddHandler application/x-httpd-php .gif
AddHandler application/x-httpd-php .ico
これでは、サイトにアクセスが有る度に、プログラムを実行させるようにされています。これらの削除と、.htaccess ファイルを更新するとサイトにアクセスした時に瞬時白くフラッシュするのが収まりました。テーマの仕様かと思っていましたけれども、スリーパーがプログラムを実行していたのです。白いレイアウトだったら気がつかないかもしれません。

災害復興第一期工事

アマデウスクラシックスの中古レコード通販サイトは、サイト製作を依頼した長谷裕二さんからの原稿の届き具合、その内容。昨年9月頃からは商品写真のデータが届かなくなった。天気の良い日に撮影してから届ける、と的を得ない返事が繰り返されていたのと月曜日の午前1時過ぎに水曜日からセールをしたいから、値段を30％オフにしてくれないか。でないとお金にならない。
理由になるかならないんだか「わがままなんだからぁ」と性急なこともあって、トップサイトに2つのサブサイトを開設して運用してました。
当たり前なら3週間前に変更するデータを頂いて、10日前ぐらいに更新できるようなスケジュールで作業することになるのですが電話で頼んでおいて、データが届かなかったりが常だったりなのでサブサイトは予備ではいられなかった。

ショップサイトですからユーザー登録、コメントをオープンにしていたので不正アクセスも受けてました。
今回定期メンテナンスと並行して、サイトのクリーンアップに取り組みます。

9月8日午後5時に作業を始めて、2時間かかりました。
ひと目で不気味なサブサイトから。
向こうからも監視されていそうだから、ドキドキです。

修復の作業

スリーパーのファイルの削除と修正のほかに、セキュリティを2つ実行しました。

1. Timthumb スキャン


2. Wordfence スキャン


3. Akismet を有効化

実際の作業は以下のとおり。

• テーマ『NewsPaper』内スクリプトに Timthumb を発見した（ /home/〜/wp-content/themes/newspaper/scripts/resize.php ）ので、当テーマを削除。


• Wordfence をインストール。スキャンでの不正ファイルは発見されなかった。


• 不正ファイルをスキャンして、1日1回定期審査のメール受信をアクティベートする。


• 未承認コメント23通がそのままだったので Akismet を有効化。2011年７月18日以降に届いていた、受信コメントを削除。

プラグインとテーマのアップデートと新規インストール

• Jetpack by WordPress.com 2.3.5 → 2.4.2


• Easy FancyBox 1.5.2 → 1.5.5


• Business lite 4.0.11 → 4.0.14


• Origin 0.5.3 → 0.5.6


• TimThumb Vulnerability Scanner 1.53


• Wordfence Securit 3.8.3


• Akismet 2.5.9

Akismet キーショップ用に新規取得しないで。取得しても無駄になりそうだし本来ショップ経営者が取得するものだから、自前取得済みのものを流用した。また、スキャン審査を受けるためにメールをアクティベートしています。

被害者名簿は渡り歩く

無残な様子のサイトから作業しました。一旦データベースを元に戻しても、翌日ぶり返していたというのが今回のロリポップの悪夢。
数日来相談に乗っていた改ざんの被害にあったユーザーから、久しぶりの報告が来た。
ちょうど1日から1日半振り。
ローカルに作りなおしてみたら問題がなかったということです。不思議な事だ。
やはり、一度攻撃されたサイトは狙われやすいということでしょう。

ハッキングしたサイトはハッキング宣言される。
リストは次々とハッカーの手を渡って行く次第です。

さて、再発するか様子を見ます。
2つ目の作業は週末を目安に予定しています。
そして、メンテナンスツールのインストールもあったので今日の作業は特別費用と成ります。