うろうろ…

レンタルサーバやさんから
「あんたのとこに変なファイル置かれて、SPAM発信に使われてるから、Webのアクセスは凍結したよ」
と連絡がありました。

一度、全ファイルを削除して連絡すれば凍結解除するよとのこと。
でも、凍結解除されてもバックアップをそのまま戻したんじゃまた同じことなので、何をやられてたのかを確認しておきましょう。

うちで借りてるサーバは、ドメイン名のフォルダを作って、複数のサイトを使えるようになってます。

WEB削除する前に改ざんされたwebのデータと、1週間くらい前のバックアップを比べてみました。
すると、ほとんどのサイトに「403.php」ってファイルが追加されてます。
他にも一部のサイトにはlfix.phpとかdoc.php とか怪しげなのがちらほら。
つーことは、ディレクトリのリストも取られたみたいです。

次にアクセログをチェックしてみました。突然アクセス数が増えた(ログサイズが大きなった)とこを追っかけると

• まず古いMTが残っていたサイトに「DKIZ.php」ってファイルが作られたみたい。
• 次に DKIZ.PHP を使って、いくつかファイルを送って、最終的に403.phpをばらまいてるようです。
  ここまでは、同じIPアドレスからのアクセス
• 数時間後に、いろんなとこから、lfix.php を使ってSPAMを送っている風です。
• さらに、サーバの中身は空っぽのまま一日置いといてみると、いくつかのサイトに403.phpへのリクエスト多数。
  DKIZ.phpってのはどーやらアップローダのようです。

動きがだいたいわかったので、とりあえずサーバのファイルは全削除してサーバやさんに連絡。
すぐに確認して、凍結解除してくれました。

改ざんされる前のバックアップを戻して、サイト自体はボチボチ復活させてます。
一応、以下のことはやっときました。

• MT と、MTを使っていたとこは削除したまま
• WordPressは念のため全部Updateされていることを確認
• 作成日付のあやしいPHPは全部確認。

この機会に、ほとんどアクセスのないサイトは断捨離しよかと思ってます。