詳細な流れ

1. このブログはMT（Movable Type）6.2で動いていた
   過去に6.3.7に上げようとしたけど何らかの理由で中断してた
   というか、上げたって書いてあるのだけど...？＞Movable Type 6.3にバージョンアップ
2. 2021/10/26に脆弱性CVE-2021-20837が発覚、PoC（実証コード）も出るし各所にアタックが発生しまくる
3. 2021/11/xx（15日頃？）脆弱性を突かれてWebShellが投入される
4. その後どんどんハックされ（1人ではないかも）、フィッシングサイトが構築される
   （メモのモーメントにも貼ったけど、ガチの日本人向け偽ECサイトを組まれてた。しかも1つのphpで全部使い回してたため、トップページや既存記事に影響が出なかった）
5. 2022/3/23にGoogle Search Console（Webサイト管理者向けのGoogle検索インデックス管理ツールみたいなもの）から「ソーシャル エンジニアリング コンテンツが検出されました」というメールが12:13頃来る
   昼休みだったのでPCが使えず詳しく確認できなかったけど、例示URLに「linkedin.php」とかあったので、よくあるAmazonとかの偽ログインサイトが仕込まれてるのだと思った
6. 帰宅してから調べると出るわ出るわ、えらいことになってる
   24日3時ごろまでかかってなんとかクリーンアップと復旧、Googleへの審査リクエスト（何故か3回ぐらいエラーで送れず）、再発防止策（バックアップ強化、必要なMTプラグイン・設定を洗い出しバージョンアップをしやすく等）をまとめた
7. 24日朝にDBのパスワード変更、夜にMTのパスワード変更を行うも、WebShellの強力さが判明し影響範囲が完全に未知数
   SSHのknown_hostsに変なキーが登録されてないのは確認した

記事を書くために調べて分かったけど、この脆弱性が公表された＆最初の対策版（6.8.3）が出たのが5ヶ月ほど前で、攻撃が4ヶ月ほど前、完全対策版（6.8.5）が出たのが3ヶ月前。

シックス・アパートの公開情報を読んで、ワークアラウンドまでやっていれば被害を免れたかもしれないけど、単純に6.8.3入れただけだとダメだったかもしれないのか...。