かぷっと川合です。あけましておめでとうございます……の挨拶しなきゃと思っているうちにもう2月も終わろうとしていますが、そんな折、この「まにかべ」が、やられました。WordPressプラグインの脆弱性を突いた改ざんに。

かっこ悪いし黙っていようかとも思ったんですが、せっかくのネタだし、同じ被害にあった人の参考になればと思い、今年最初の投稿はこの話で。

ゆっくり書いている時間も、詳細に書く知識もないので、手短に。

まず、問題となったのは、

情報漏洩ニュース「WordPressの「FancyBox」に深刻な脆弱性を確認」

http://blog.livedoor.jp/antitheft/archives/1800864.html

この件です。
内容は、タイトルのまま。

では、起こったことと対応を順番に。

1.「まにかべ、やられてるっぽいよ」と気づいた方が教えてくださる。(2/23の20時半頃)

2.Googleウェブマスターツールで確認。問題のコードを知る。
「マルウェアへの感染を検出しました」とのメッセージ。2/21にやられたっぽい。
iframeタグで、問題あるサイトのURLが埋め込まれている模様。
そのサイトのURLを手がかりに原因を探ることに。

3.とりあえずFTPでまるっと公開データを落としてきて、全文検索。
……が、どこにも記述が見つからず。

4.もしかして、とDB内を検索。
……あった。

(○○○○, ‘mfbfw’, ‘a:1:{s:7:”padding”;s:144:”</script><iframe src="http://悪意のあるサイト" width="240" height="70" style="position:absolute;left:-74001px;"></iframe><script>“;}’, ‘yes’)

こんな感じで書き込まれていました。

5.上記のデータを呼んでいるプログラムを探す。
さっき落としてきたデータの中を検索。どうも「FancyBox」というプラグインらしいと判明。

6.ググる。
「FancyBox 脆弱性」とか、それっぽいキーワードで何度かググる。
でも、今月に入ってからの出来事らしく、あまり情報なし。
プラグインのアップデートでてるから更新しなよ、って程度。

7.とりあえず、プラグインを更新。
……でも、DB内の同じデータを呼んできやがるので意味なし。

8.どうしたものか軽く悩んで、切り捨てる。
問題のあるデータが書き込まれている箇所も分かっているし、修正すればいいんだろうけど、もう面倒になってそのプラグイン(FancyBox)を落とすことにする。
消極的な方法だけど、ひとまず問題は解決。

9.いつやられたのか、アクセスログを調べてみる。
……1日分くらいしかログ残さない設定になってて、辿れず断念。
とりあえず数日分は残す設定に変更して、涙する。

10.Googleウェブマスターツールで再審査請求。
問題、対処したからチェックして制限解除してー、と送る。
一晩くらい(数時間)で、制限解除されました。

問題が出ている間は、「このサイト、やられてるよ」と検索結果にも、ページそのものにアクセスしてきたユーザーにも警告を出してくれる親切なGoogleさん。おかげでおそらく誰も被害にあっていない模様。元々ほとんどアクセスのないサイトだったことも奏功。

と、まあ、こんな感じでした。
以下、アドバイスをまとめると、

1.WordPressなどを使う場合、本体はもちろん、プラグインの更新もマメにチェック。
2.Googleウェブマスターツールは設定しておこう。メッセージもしっかり確認しよう。
3.ログはそれなりに残しておこう。

以上です。
お騒がせしました。

※追記
この話には続きがあります。