今回、ホントにたまたまサーバーの引っ越し中で、自分が作ったのではないphpファイルが見つかった(タイムスタンプが早朝だったので気がついた)。
おかしいなと思いつつサーバーから消したけど、次の日、また知らないphpファイルが出来ていて、しかも今度は悪質なタイプ。
ローカルに落とそうとしたら、ウイルス検知して即削除された。
どうもページにあるリンク先をランダムな数字に置き変えられたっぽい。
(これ ↑ あとで判明。出力ファイル名がカスタマイズしたものから、デフォルトのものに変わっていたため)
[重要] Movable Type 7 r.5003 / Movable Type 6.8.3 / Movable Type Premium 1.47 の提供を開始(セキュリティアップデート)
【2021/11/9 追記】
悪質な攻撃が観測されており、見知らぬ PHP ファイルなどを設置されたり .htaccess を書き換えられてサイトの閲覧に影響が出るなどの被害が確認されています。対象となるのは Movable Type 4.0 以降、6.8.2 以前、7 r.5002、MTP 1.46 以前のすべてのバージョンです。対象のバージョンをご利用の方は、対策済の 7 r.5003、Movable Type Premium 1.47 もしくは 6.8.3 へのアップデート、または XMLRPC API へのアクセスを制限する対処を直ちに行なってください。
これのせいだな。ここで分岐点。
再構築すればページは直る?
更に取り返しがつかないくらいバラバラになる?
これ仕事のサイトだったら泣くわ。
とりあえずもう触らないでバックアップから直そう。
MTを使わなくても、昔のようにDWの検索置換で対応できるし。
MTのバージョン4から歴代のプログラムがサーバーに放置されていたので、とりあえずmt-xmlrpc.cgi を全部削除した。
いや~、引っ越し作業中でよかった。
3年ほどバックアップ取ってなかったもんねw
データのバックアップは上書きするな。
必ず!別名保存だ。
追記:おそらく侵入されたのはMT6で作ったページ。
個別ファイルのリンク先がいつもと違う設定に変わっている。
どのバージョンでも、個別ページのファイル名を以下のようにしていたけれど、
<$MTArchiveDate format="%Y/%m/%d-%H%M"$>_<$mt:CategoryBasename$>.php
MT6のテンプレートだけ
yyyy/mm/entry-basename.php
になっていた。
初期設定だと、タイトルが全部日本語だと、ランダムな数字だけのファイル名になったはず。
MT6でも、<$MTArchiveDate format="%Y/%m/%d-%H%M"$>_<$mt:CategoryBasename$>.php
として作られたページ自体はあるので、いつかはわからないけれど、侵入されたってことだよね。
ログには自分以外のアクセスは残っていないんだけど。
コメント