【注意喚起】WordPress、Quick Homepage Maker(Haik)などで作成されたサイトが改ざんされています

最近、少しブログの更新速度が遅くなってきてますが、このブログ以外にも2つほどサイトを所有しているため、こっちの更新があまり進まないかもしれません。ご了承ください。

スポンサーリンク

21日深夜ごろから異常事態発生

ホームページ作成CMSにQHM(Haik)というものがあります。オープンソースで開発されており、簡単にクオリティの高いHTML5対応ホームページが作れるというスグレモノです。

QHMは2007年から始まり、2015年にHaikになり、自分は2011年からのユーザーでした。ユーザー間が情報交換を行っているフォーラムをちょくちょく見に行っているのですが、何やらこんなスレッドが。

QHMで構築されたサイトが攻撃されています

急いで開いてみた所どうやら、Team System Dzというイスラム系のサイバー組織がQHM系で作成されたサイトに対し、攻撃をしている模様。

このブログにまで・・・

自分のサイトはどうなのかと見に行った所、test.htmlというアップロードした覚えのないファイルが。パーミッションは644でした。こんなものアップロードしたっけ?と思い、
開いてみました。すると不気味なページにこのサイトはTeam System Dzが乗っ取った
というような文章が。なんとQHMじゃないこのブログにもtest.htmlが存在しました

↑人のサイト乗っ取っておいて何がオールフレンドじゃハゲ。
このブログのファイルは現在削除済みですが、もしかしたらマルウェアが仕掛けられている可能性もあるためこういう類のものにはアクセスしないでください。

QHMではないただのWordPressのサイトにも置かれてるみたいです。これは非常にヤヴァイ。
取り敢えず慌ててスクショ撮って該当ファイルを削除しました。QHMのみならずWordPressもとなるとかなりの数のサイトが危ない状態かもしれません。

原因はswfu?

QHMのフォーラムで最新情報を確認していたところswfuアップローダーが原因という情報が。(SwfuはQHMとWordPressに採用されている画像アップローダーです。)

WordPressに関しては詳細不明ですが、QHMのほうはこんな解決案が出されています。
(Haik Forumのbeeさんの投稿を引用しています。)

GitHub 上で情報が見られるようになったので対策について公開します。

1. swfu/upload.php を削除してください
2. swfu/d/ の中におかしなファイル(.php/.html/.exe など)が入っていないか確認してください
3. Apache のログに swfu/upload.php や swfu/d/*.php にアクセスされた形跡がないか確認してください

とのことです。開発が行われているGitHubの方にも報告したとのことで現在、修正が進んでいるようです。第二次攻撃が始まらないうちにQHMの方では上記の対策を実行。自分のこのWordPressでは以下の対処をしてみました。

  • 外国からのアクセス禁止
  • SiteGuradプラグインを導入
  • WordPressのパスワードの変更、PHPのバージョンを7に切り替え(効果は不明)

ウイルスチェック等もしてみましたが何も引っかからなかったようです。

新しく情報が出次第追加で書き込みます。皆さんも気をつけて下さいね。それでは。

関連リンク

投稿者プロフィール

わらび
わらび

当ブログの執筆者、管理人。現在の使用端末はNexus5X、Latitude E6230、iPad Air2などです。個人、企業からの執筆依頼も募集中です。お気軽にお問合せください。


スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする