ハッキングからの回復（ZenPhotoの脆弱性と今回の自動インストールサイトの対策）

ハッキングからどう回復をしたかを書きます。日本のインターネットプロバイダに助けていただき、またホスティング会社のHostMonsterにもご迷惑をおかけて、サポートをしていただきました。変な英語で本当にご苦労をおかけしました。

11月15日（水）
サイトが変なことに気がつきました。iGoogleのお気に入りウイジェットから自分のサイトに入れないで、よくわからない変なサイトにいってリダイレクトされてロシアのグーグルサイトに行っちゃうのです。Google　Yahoo　で検索しても同様のことがおこったので、検索エンジンの不具合かしら？と思いました。

以下　メールの部分の　私（F）　HostMosterサポートチーム（H）

11月16日（木）
レンタルサーバーのHostMonsterにメールで質問をしました。
（F）自分のブログにアクセスできません。　なぜ？
（H）じぶんたちはちゃんとアクセスできているので、そのうちなおるんじゃない？
　
11月17日（金）
（F）まだアクセスできません。
（H）じぶんたちはちゃんとアクセスできているのです。あなたのTraceroute を知らせてください

（F）Traceroute を送ります　いまだに自分のサイトにいけません。次に何をすればよい？
（H）あなたが使っているのはMacintosh? Windows 7? Windows Vista? Windows XP? Linux/Unix?

（F）Windows XPです

（H）じぶんたちはちゃんとアクセスできているので、ISPに相談してみなさい。何かトラブルがあったと思います。

（F）ISPに相談をしましたがエラーを起こしていませんとのことです。ieHTTPHeadersのデータを送ります。
（日本のISPの会社のリーダーにieHTTPHeadersを取るようおしえていただきました）

ここでいまさらなんですが、phpファイルが全部同じ時間に更新されていて、上部に変なコードができているのを発見しました。遅いですね。見事に全部のphpファイルとhtaccessが書き変わっていて、変なdefault.htmlが生まれていました。

11月18日(土）
（F）もしかしてハッキングにあったのでしょうか？
（H）Good job　よくみつけましたね。Googleで検索したときだけということに気が付きませんでした。あなたのサイトは全部ハッキングをされています。
以下の３つから選んでしらせてください。

1. １週間前か１カ月前のデータにWEBサイトを復元します。どっちの日を選ぶのかも知らせて。
2. 全く初期化します。
3. 自分で修復します。

ハッキングにあわないためのHostMonsterおすすめページやサービス会社も教えるからよく読んでね。

（F）１カ月前に戻してください。（ここでサポートチームとのやりとりはいったんおわります）
その後wordPress ZenPhoto プラグインをすべて最新にしましたが直りません　リダイレクトするhtaccess が自動的にできてしまいます。そこでZenPhotoのサイトを読んで全部アンインストールしてフォルダも削除しました。

（F）ZenPhotoが原因だと思います。
（H）テーマとかプラグインとかプログラムとかは余計なものは削除して最新のものをいれてください。

（F）今までありがとう。　

私は返事がもらえなくなったら困るとThank Youが書けませんでした。　無礼なはなしです。　　サポートチームには長くつきあってくれて感謝です。それに日本のプロバイダさんも。彼にとってはとんだとばっちりでした。

さてZenPhotoの自動インストールできるアメリカのSimpleScriptは今はバージョンを下げて（1.3.1.2）配布しています。バージョンアップはそこからできますが1.4.1.5です。インストール時にSiteLockという脆弱性などの調査プログラムをいれる選択ボタンがあります。
日本のヘムテルは最新バージョンで配布しています。（1.4.1.6）ロリポップは配布をやめています。　本家のサイトは最新バージョンをすすめています。（1.4.1.6）でも1.4.1.5も1.4.1.6もバージョンアップしてもハッキングから回復しないという書き込みがZenPhotoのFORUMにあってどちらの判断が好ましいのだろうかと思います。もう少し本家サイトからの情報があると良いのですけど。

2011.12.18 Zenphotoと自動インストールサイトの今の状況