searchreplacedbを置き去りにしてデータベース改ざん、強制リダイレクトされる事例
WebRepairも仕事始め、通常業務体制となりました。 最初の事案は、 サイトにアクセスするとリダイレクト(転送)されてしまう。 管理画面にまっすぐアクセスしようとしてもリダイレクト(転送)されてしまう。 という事案で […]
WebRepairも仕事始め、通常業務体制となりました。
最初の事案は、
サイトにアクセスするとリダイレクト(転送)されてしまう。
管理画面にまっすぐアクセスしようとしてもリダイレクト(転送)されてしまう。
という事案でした。
多くはデータベースの改ざんが行われている
こうしたケースの大半は、データベースの改ざんが行われています。
wp_optionsテーブルの、siteurlとhomeの値が書き換えられているというのが最も多いケースとなります。
この際に確認しなければならないのは、特に制作会社の場合であれば本番移転の際に利用したsearchreplacedb2.phpやSearch-Replace-DB-masterが置き去りにされていないかです。
searchreplacedbは、たいていの場合データベース内の開発環境URLを本番環境URLに置き換えるなどのために使用されます。
これはブラウザからアクセスでき、wp-config.phpから自動的にデータベースへの接続情報を取得しますから余計な入力もいらず、非常に簡単に利用できます。
しかしながら作業完了後に削除し忘れているケースがあり、こうなるといわばデータベースへのバックドアとして機能してしまいます。
投稿記事にjsを埋め込む改ざんや、管理画面(ダッシュボード)内の出入りも可能となり、事実上完全に乗っ取ることが可能です。
またリビジョンの改ざんなども行われます。
ファイルの改ざん被害も避けられない
サイトを自由に扱えるため、結果としてファイルの改ざんも避けられません。
データベースだけではなく多くのファイルに改ざん被害が起こり、偽装プラグインや画像ファイルを偽装したスクリプト、バックドアなどが追加され、サイト全体をクリーンにする必要が生まれてしまいます。
searchreplacedbはツールで簡単に発見できる
中には、リンクがあるわけではないし置いておいても大丈夫と考える方もいるようです。
しかし、WP-Scanなどの有名ツールですぐに見つけ出すことができます。
よってリンクがあってもなくても関係はありません。
searchreplacedbは、使用後直ちに削除を
こうしたツールは利用後直ちに削除を行ってください。
最近は単純なグレップとリプレースでクリーニングできるような簡単なケースは減りました。
「やられ具合」によってですが、復旧まで少々時間がかかります。