いきさつ

知人のサイト（WordPress）が見れなくなったということで、

とりあえずsshでログインしてみた。

とりあえず調査

探し方としてはかなり荒っぽいけど、とりあえず

phpファイルのうち、evalを含むファイルを検索した。

find . -type f -name "*.php" | xargs grep 'eval'

あった。

あったというか滅茶苦茶あった。

カウントしてみる。

find . -type f -name "*.php" | xargs grep 'eval' | wc -l
6000

えぇー。

いったん応急処置

あまりサイトが見られない時間が長いのはSEO的にヤバイ（メディア系なので）。

いったんマルウェアを削除して再アップし、

その後にログ調査などして根本原因を突き止めることにした。

マルウェア削除 軌跡

ファイルを調べてみると

3月10日に生成されているファイルがほとんどだった。

（念のため日付はぼかしてあります）

そこをハッキングされた日として、

一旦一週間前の3月3日以降に生成された怪しいファイルを、

どんどん消していくことにした。

find . -type f -name "*.php" -newermt "2018-03-03"

を元に、

怪しい文字列を含むファイルを検出、中を確認しながら順番に削除していく。

（すごい古典的な方法だから絶対もっといい方法があるはず）

どんなファイルがあったか

以下の３つに分けられた。

webshell系

webshellってのはざっくりいうと、

webブラウザからシェルを使えるようにするやつ。

ファイルの転送、実行、編集、削除、

シェルコマンドの実行など、シェルでできそうなものならなんでもできる感じ。

DBにアクセスしたりすることもできる。

これが置かれたらサーバに対してだいたいなんでもできる。

非常に厄介。

これが1000個くらい。

なぜか3種類くらいのwebshellが置かれていた。そんなにいる？

メーラー系

サーバからスパムメールを送ることができるツール。

leafmailerというphpで作られた有名なツールが置かれていた。

これが3000個くらい。

自己誇示系

Hacked by ***

みたいに、自分のハンドルネーム的なファイルを書き残している。

これが2000個くらい。

とりあえず怪しいファイルは全部消した

結局3月10日以降に作られたファイルは全部マルウェア系だった。

攻撃者のプロファイル

ファイル名や、Hacked by *** から、攻撃者のプロファイルが何となく想像付いた。

攻撃者はおそらく、

イスラーム過激派

か、

それを騙った愉快犯っぽい。

ファイル名で検索するとそれっぽい写真がいっぱい出てくる。

どちらにしても迷惑だな。手当たり次第かよ。

脆弱性を突き止めるために

現在、ハッカーさんがアクセスログを残してくれているっぽいので解析中。

ログ残してくれてるあたり、あまりプロの仕事ではないんだろうなぁ。

優秀な人は、ログを改ざんしたり削除したりしていくらしいけど。。。

まとめ

ハッキングされると後が大変。。。やめてほしい。。