WordPressを何個も入れているサーバ(GMOクラウドVPS)があって、ずっと改ざんと戦い続けているが根本的な原因が掴めずに困っている。

今日もほぼサーバ内のほぼ全てのサイトの全PHPファイルの1行目に長い変なスクリプトが悪意の第三者によって埋め込まれていた。

この問題に起因しているのは間違いなくWordPressだと思う。アクセスログを見る限り海外IPのLinux端末からアクセスがある。

何かのきっかけで、セキュリティの穴を突かれて、いくつかのファイルが改ざんされ、そこから浸食されて、あるタイミングで全サイトが一気に改ざんされる、そんな流れな気がする。

現在行っている対応策としては、「postfixのログを見る」→「変なメール送信のあるメールアドレスからサイトを特定する」→「特定したサイトのアクセスログを見る」→「特定の改ざんファイルに対して海外IPからアクセルがある」→「特定ファイルを削除、および不正コードを削除する」以上。

ただし、なぜ改ざんがされるかの根本的原因が分かっていないため、終戦の様子はない。。

どうしよっかなー。

解決方法アイデア

まずはcron処理で改ざんを察知してメール通知できるようにしたい。そうじゃないと、いちいちファイルをＦＴＰでダウンロードしてローカルで秀丸とかで正規表現でグレップして、検索をかけているので、ものすごく面倒。。

あとは、cronでディレクトリ、ファイル一覧のようなものにファイルのサイズ、更新日のリストのようなものを１ファイル形式で作成してどこかに保存してくれる処理が欲しい、そしてその差分を見て、変更があれば、メールで通知するみたいな？

どちらの方法にしてもLinuxコマンドでメール通知できる必要がある。そしてLinuxコマンドで秀丸の正規表現グレップみたいなのして、ひっかかるファイル一覧を出して、それをメールで送るみたいなのがやりたい。少しずつ頑張っていこう。