2週間程ひどい状況だった。仕事も忙しいのにサーバトラブルに見舞われる。
状況としてはwordpressを含めたjsファイル(java script)にリダイレクトコードを次々と増殖させるプログラムをサーバ上に置かれてしまった。どうやって置いたのかは不明。このウイルス的プログラムはどうやらhtaccessの書き換えも実行するようで、検索エンジンから来たアクセスをリダイレクトで他のページに飛ばす仕様で、悪質なプログラムを撒き散らすサイトに繋がってしまうようだった。ネット上で色々と調べるとhetemlサーバでwordpressの改ざんが多くあるようで、似ているのかと思って調べたら微妙に違う。
このhtaccessの書き換えは消してもパーミッションをx0xにしても容赦なく書き換えられてしまう状況に。どう考えてもどこかに原因となっているプログラムがあるんだけど、自分とこのサーバは自分のデータだけじゃなく、人のページも預かっているのでファイル数がちょっと多くて検査にめっさ時間がかかった。検査の道中で60000ファイルを20000ファイルまで削って実行したら1割近いファイルが観戦してた。とはいえ、直してアップしてもすぐに観戦する状況でどうしようもない。
なんとか見つけられたのは事務所2泊目。見つけたファイルはcache_000/phpというもの(/は.)。ネットで調べたら日本人では症例がなく、海外でこのファイルの被害者が多かった。というわけで、これを修正したところ、無事感染や上書きがとまった。いやいやよかったよかった。
