お世話になります。
本日、
クローク攻撃がされていることが発覚しました。原因は推測なのですが、以下のような事象が確認されました。
1. index.phpが書き換え(差し替えると復旧)
2. themes内にhmm.phpが作成される(4/7に作成されたようです。)
3. 外部からhmm.phpにアクセスしルートにreadme.htmlを作成
4. hmm.phpがindex.phpを改ざん
サーバ管理者曰くFTPによるものではなさそうとのことなので、
原因はわかりますでしょうか?
ファイル作成日からすると3/22に発表された脆弱性のパッチを当てる前か後かがわからないのですが、
対策前だとすると上記のような攻撃される可能性はありますでしょうか?
(ちなみに、パッチの履歴(日付)を遡ることは可能でしょうか?)