去年の10月頃にWordpressへ攻撃を受け、サイトを閉鎖していましたが、時間が取れたので色々対策をして復旧させました。内容としては以下になります。

なお、Wordpress自体はすぐに閉鎖し、閉鎖期間中はWordpressのDockerコンテナ自体を起動せず、本日バックアップから復元させましたので、攻撃の痕跡は別途解析用に残したファイル以外は残っていません。

また、当サイトではWordpress,PHP-fpm,MySQLなどコンテナを分離して構成しております。

## 発見された脅威

### 検出されたマルウェア

調査の結果、以下の悪意のあるファイルがWordPressディレクトリ内に設置されていることを確認しました：

– **mlm.php** – 外部からの遠隔操作を可能とするWebシェル

– **jmfi2.php** – ファイルアップロード機能を悪用したバックドア

– **123.php** – システム情報の漏洩を目的としたスクリプト

– **password.php** – 認証情報の窃取を行うマルウェア

– **wp-extends.php** – WordPress標準ファイルを装った偽装マルウェア

### 攻撃手法の分析

– PHPベースのWebシェルによる遠隔操作

– ファイルアップロード機能の不正利用

– WordPress管理機能への不正アクセス

– サーバー情報の収集・漏洩の試み

改変されたファイル自体は保存してありますので、新しい発見などありましたら報告させていただきます。

現在の構成では安定した運用ができないため、構成の見直しを行っています。

（Apache＋Mod_UploaderをDockerに逃がすなど）

このため、しばらくの間アップローダの機能などが使用できません。

アップローダに上げられているデータについて、多くの通報を頂いており都度対応しておりましたが、tor経由のアクセスが多かったため、アップローダのデータを一旦全削除し、tor経由のアクセスを遮断しました。

引き続き、通報につきましては以下のフォームから情報の提供をお願いいたします。

https://berryred.info/include/mail/

WordPressの更新により.htaccessが更新され、uploaderのURLにアクセスすると404エラーになる状況が続いておりました。

.htaccessを編集し、現在は正常にアクセスできることを確認しております。

お昼ごろApacheのSegmentation faultとともにApacheが落ちました。
ご迷惑をおかけし、申し訳ありません。

原因はまたもやMod_Uploaderなので、データを一旦避難させ、UPLOADERを空の状態で起動しなおしました。

いい加減落ちすぎなので別途手段を考えてみます。