エントリが不正改ざんされてました

Posted by せれ on 3 月 31, 2008

2008/03/13 14:57 にアップした「alphabet paperclips」のエントリが、知らない間に不正改ざんを受けていました。

問題の箇所は下記の箇所。

 

直接サイトを表示させても、愛用しているFresh Readerで確認しても異常がなかったため、まったく気づきませんでした。

ところが、数ヶ月ぶりにLivedoor Readerで確認したら下のようにおそろしい事に・・・・

［ ］で囲っている部分が全部見覚えのない胡散臭いリンクばかりです。しかも更新日時に見覚えがないんだけど・・・・

WordPressの管理画面でもう一度確認しても管理画面では公開した日付しか書いていないためチェックできず。
この日時には他のエントリをUPした覚えもなし。

問題のエントリのページを実際に表示させても上記の怪しいリンクは確認できません。

ちなみにFresh Readerではこのように表示されてます。まったくわかりません。

もしやと思いソースを確認するとやっぱり胡散臭いリンクが大量に見つかりました。

「style=”display: none”」で非表示にして隠していたようです。
なので直接ページをみてもわからなかったと。

でも、Fresh Readerでは非表示でLivedoor Readerではstyle=”display: none”でもちゃんと表示されるのですね。
あと、更新日時がわかるのもLivedoor Readerのみですね。

さっそくむかつく不正リンクの部分をWordPressの編集画面からコード編集モードで取り除き更新しました。

ほかのエントリでは問題はおきていないようです。
（以前、一度似たようなことがありましたが、そのときは不正Linkはひとつだけでした。そのときも原因がわからず。）

で、取り除いたコードをテキストエディタに貼り付けて整形したのがコチラ。

開始タグ、終了タグを除いて不正Linkがきっちり50個。
2つのドメインの広告がありましたが、ご覧のとおりどちらもWordPressで構築されたサイトの模様。
（wp-content がすべてに含まれていました）

現時点では原因がわからないのですが、ひとつずつできる範囲で予防するしかないかなぁ。（涙目）

• WordPressの脆弱性・・・最新版がでたら早めに更新するか。でも発覚時点では最新でした。

• 使用しているプラグインの脆弱性・・・すでに使っていないものもいくつかあるので取捨選択と最新版への更新。

• ユーザー名、パスワードがhackされてる可能性・・・hackされてればすべて荒らされていそうなのでこの可能性は低いかな。

• PCがウイルスに冒されている可能性・・・ウイルス対策、スパイウェア対策は最新のものをつかっているし可能性低いかな。

うーん、わかりませんね。

とりあえず、Fresh ReaderだけでなくLivedoor Readerも併用することにしました。

どなたか同様の被害にあったとか、原因を知っている、対策を知っているなどありましたらぜひ些細な情報でも結構なので教えていただけると助かります。

追記
Livedoor Readerの英語版、Fastladderでも確認しました。
こちらでは、隠しリンクは表示されていましたが、更新日時は表示されないようです。
表示されていれば広告の表示されないFastladder！と思ったのに残念。