2018/9/17に判明
WPにログインしたり、そもそもURLにアクセスすると
“https://mp3menu.org/red.php”
っていう、URLに転送しようとするのね。
わたしはブラウザのjavascript:OFFにしているので、こんな画面が出ました。
ソースを見てみると・・・
http://conteniraffaire.tk/index/?4831537102803
うん。なんか変なところに転送しようとしてますね。
FTPでフォルダを見てみると、アクセスのない(かつ、触ってもない)ドメインに置いているWPの
以下3つのファイルの更新日時が変わってまして。
wp-login.php
wp-links-opml.php
readme.html
中を確認して見たら、あきらかにおかしいコードが入り込んでいるわけでございます。
2018/9/16 12:00あたりから、上記wpシステムの3ファイルと、その他、静的HTMLにも書き込みがみられました。
あと、変なファイルが設置されてる。
./public_html/ドメイン名/wp-content/uploads/2018/09/wp-pr.php
こんなファイル、アップロードした覚えは(もちろん)ないな。
日付は2018/9/16の未明。
バリュドメからの回答はワードプレスの脆弱性を利用したもの、っていう返答がきました。
これ・・・サーバーに入られたんじゃねーの?と思うんですけどね・・・
被害はワードプレスだけじゃないもん。
サイトアフィリエイターさんは、気を付けてくださいね。
ちなみに、b5.valueserver.jp でした。
結構な数のWPいれてあるサーバなのに、また移管作業やないの・・・
コメント