久々にWPをiphoneアプリで更新しようとしたら
エラーになって出来ない。
うむーアプリおかしくなったのかな?と思ってsafariでサイトを見てみた。
Internal Server Errorになっていた!!!
ありゃーと思ってPCで見てみた。
Internal Server Errorになっていた!!!!!!!!!!!!!!!!
最近プログラムも何にもいじってないし、こまったーとおもい調査。
さくらのスタンダードを借りていて、WPやらMTやら、openpneなどいろいろ入れており、phpのエラーかhtaccessのエラーかもと思い気が遠くなった。
まずは、コンパネに入りさくらで障害が出ていないか調べる。
出てない。
メンテ情報などもないので、ログを確認。
コンパネに1日分は表示されている!!!すごい!シラナカッタ!
アクセスログの設定から見れます。
/home/abc/www/.htaccess: Invalid command ‘php_value’, perhaps mis-spelled or defined by a module not included in the server configuration
すっごいいっぱいこのログがある。
どうやらルートのhtaccessが何かなってるぽい。
見てみたらつい最近の更新日時。
怪しいわー
中見ると数行開いたあとに
php_value auto_append_file /home/abc/www/Thumbs.db
とありThumbs.db見ると同じ日時で暗号化された以下から始まるソースが書き込まれていました。
@eval(base64_decode(“aWYg
とりあえず、htaccessは名前を変え、サイトが表示されるかを確認。
表示されました。
これが原因のようです。
参考
http://ja.forums.wordpress.org/topic/7851
http://www.neubreed.com.au/blog/2011/06/how_clean_after_thumbsdb_wordpress_and_php_auto_append_file_exploit_hack
感染ルートや対策は今調べ中です。
ちなみにwp_version は3.2
サーバのパスワード変更と作られたファイル削除、wpのバージョンアップをしてみた。
コメント