質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.61%

  • PHP

    19901questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • WordPress

    6990questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • MySQL

    5708questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • Ajax

    1070questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    449questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

マルウェアに感染してしまいました。ファイルを切り分けたいのですが検証方法がわかりません。

解決済

回答 2

投稿 編集

  • 評価
  • クリップ 5
  • VIEW 2,379

MasacoHori

score 16

前提・実現したいこと


私がデザインしお客様に納入したホームページがマルウェアに感染してしまいました。
ファイルを切り分けたいのですが検証方法がわかりません。

サーバ:さくらのレンタルサーバ スタンダード
CMS:WordPress バージョン 4.2.2
どうして発覚したか:お客様がgoogleadwordsに広告掲載依頼したら
以下の連絡がありました。

発生している問題・エラーメッセージ


googleadwordsの担当より
>>>
不正なソフトウェアに感染する恐れのある要素が確認されますため、広告掲載ができかねる状況となり、
大変ご心配をおかけしていることと存じます。

ウェブサイトを審査担当部署にてお調べしたところ、サイト < http://hogehoge.com/ > に関しましては、
不正なソフトウェアに感染する恐れのある要素が確認されております。

恐れ入りますが、円滑に広告掲載をしていただくためには、サイトに不正なソフトウェアに感染する
恐れのある要素がない状況にしていただく必要がございます。

お力添えできる範囲が限られており大変恐縮ですが、下記にて出来る限りの情報を記載いたしますので、ご確認いただけますでしょうか。

審査担当部署にて下記ページがマルウェアに関連しているとの懸念があるようでございますので、
このページ(ディレクトリ)を中心にサイトのログなどを今一度、ご確認いただけましたら幸いです。

追加)これ危険なので近づかないでください。。。ハッカーらしいです。。↓↓↓↓↓↓↓↓
■該当リンク先

http://zi1.zeroredirect1.com/zcvisitor/c27726f1-0d33-11e5-8cc5-06a80d05e7e1

https://p2.dntrax.com/tr?id=99b6ab108a1fc7b8a0855cf64b0d33e7f49b7c00.r

※念のため、上記 2 件のリンクは外しております。

また、上記はあくまで 1 例であり、その他のリンクもマルウェアと判断されている場合がございますため、ぜひウェブマスターツールをご活用くださいませ。
※全デバイス(PC、タブレット、スマートフォン等)において、不正なソフトウェアがないようご確認をおすすめいたします。


該当リンク先から
問題のファイルを探し出すことができますか?

現在さくらインターネットさんにも依頼してます。

wordpress の アク解でも
/wp-admin/admin-ajax.php
が多いようです。公開サーバ上のadmin-ajax.phpを見ても
問題なさそうなんですが。
/wp-login.php
も問題なさそうなんですが。


今回、ログイン名が丸見えだったという不注意があり
すぐに隠し、ログイン名とパスワードを変えました。(6/7)

■該当リンク先

http://zi1.zeroredirect1.com/zcvisitor/c27726f1-0d33-11e5-8cc5-06a80d05e7e1

https://p2.dntrax.com/tr?id=99b6ab108a1fc7b8a0855cf64b0d33e7f49b7c00.r

を頼りに
ログの確認はできますか?どのファイルが問題か切り分けたいです。。。。

方法がわかる方はいらっしゃいますでしょうか?

いつもたいへん申し訳ございません、どうぞよろしくお願い致します。


ソースコード

ここにご自身が実行したソースコードを書いてください

###補足情報(言語/FW/ツール等のバージョンなど)
  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 2

+4

当該の、WEBサイトのみの感染、汚染との確認は、されましたか?
何が原因で、マルウェア感染、汚染したか調べましたか?
コードが感染、汚染された、発見できた、駆除出来た、で済ますと、
原因、侵入ルートを見逃すことになります。
⇒ローカル環境が原因で無い事、WEBサイトの設定に問題があるか、無いか
アプリ(WordPress?)の、セキュリティ問題なのかとか、
バージョンアップ、パッチで解消するか?

杞憂かもしれませんが、
私だったら、
WEBサイトだけでなく、ローカル環境、バックアップ等も、確認します。
世代毎のバックアップがあれば、バックアップレベルで、確認できますよね?
また、ローカル環境が汚染されていたら、WEBサイトだけの処置は、無意味になりかねません。
ローカル環境といっても、範囲の限定が、可能かどうかは、書込みからは不明です。
ローカル環境が、汚染されている場合は、汚染された機器、環境では、
ウィルス対策ソフト、マルウェア対策ソフトなどの、チェックをかけても、
汚染が検出出来ない可能性もあります。
⇒クリーンな環境でインストールされた、
適切なウィルス対策ソフト、マルウェア対策ソフトなどにて、
汚染可能性がある機器から取外したHDDなりを、
クリーンな機器でチェックする事が、必用かもしれません。


投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/09 17:32

    daive様

    正しいご指摘、心より感謝いたします。
    daive様が私に教えて下さった内容を一生忘れず
    肝に命じて、サイト作成いたします。

    時間に追われ、「なんとか解決」と
    オロオロしている初心者+独学です。

    セキュリティは、制作者にとって必須かつ絶対にクリアしなければいけない問題ですね。

    ご指示いただいた方法を時間をかけ、原因や侵入ルートなどを丁寧に検証していきます。
    ローカル環境が汚染されてたら、最悪(プロ失格)ですものね。

    かなり高度な方法を親切に、やさしく教えていただき心より感謝します。
    セキュリティでわからない事が起きたらまたこちらで質問させてください。
    お時間使ってご指導いただき、本当にありがとうございました。

    キャンセル

  • 2015/06/09 18:18

    どうしてもな時の、後ろ向きな対応例です。
    面倒ですし、生産的ではありません。お勧め出来ません。
    止むを得ず行う必要がある場合に、準備はしておいた方が良いカモ。
    '
    IPV4の割当が終了した現在では、
    国内限定サイトであれば、海外サイトを遮断する方法も取れたりします。
    但し、日本への割当IP=国内IPで安全、ではないので、注意が必要です。
    IPV4の割当の移動は、頻繁では無いにしろ、有る可能性も。
    スマホのブラウザでの、サイトデータ圧縮表示機能は、
    海外サーバーで実現されていたりします。
    対応が、悩ましいです。動的なのかどうか、未確認。
    FireFox、Clome、:Windows / Android でサーバーが異なる様子
    ドルフィン等、他のブラウザ:米国企業?日本へのイチャモン国系じゃない?

    ログ等を確認して、攻撃パターンを調べるのも必要かもしれません。
    MySQL インストールフォルダチェック:普通にあります。
    南米、旧東欧の後に、中華IP、韓国IPアクセス:普通にあります。出来うる限りの範囲のIPで拒否。
    robots.txt で、拒否しているにもかかわらず、クローラが、
    サイトアクセスした跡がある。:当該IPをブロック単位で拒否
    良く知られたポートへの、ポートスキャン:当該IPをブロック単位で拒否
    IPの割当などの検索、確認サイトは、
    検索ワード:IP 確認

    キャンセル

  • 2015/06/12 05:07

    ご無沙汰してすみません、まだ未解決です。。
    再申請したら、また別(似たような)のマルウェアがあるとの返事が来まして
    すべての公開データをDLし、スキャンしたのですが、ヒットしません。
    ローカルはターミナルを使い確認したのですが無事でした。

    感染ルートは、ログイン名が丸見えだったという最初のミス(今は見えません)
    によるブルートフォースアタック
    だろうと思います。


    この質問を見た方、後からわかったことなのですが
    該当リンク先  URLにはとばないでください。危険ですから。。

    このサイトは海外のお客様も見られるので海外を遮断することはできません。
    daive様の言われるよう、ログを確認し感じの悪いIPはブロックしました。
    wordpressに対してWP-Ban(指定した接続元IPアドレスをブロックできる)というプラグインを入れました。
    またLimit Login Attemptsというログイン制限プラグインも入れました。

    http://note100yen.com/en-130422.html
    http://lhsp.s206.xrea.com/misc/linkscan.html
    などを参考に色々テェックしましたが、とりあえずはsafeです。。

    googleadwordsに再々申請した返事はまだないです。。
    3日くらいかかるそうなのですが、週をまたぎそうなので
    金曜日に返事がなければ来週に再送信してみます。。

    daive様、今回もいろいろありがとうございました。

    心より感謝します。
    またわからないことがあったら質問させてください。どうぞよろしくお願い致します。


    キャンセル

checkベストアンサー

+1

サイトがマルウェア感染したとのことで大変ですね・・・

詳しくはないのですが、他人ごとではないので調べてみました

取り急ぎ、こちらが参考になりそうです
http://officehit.biz/safe3506

またgoogleでもサイト診断してくれるようです
https://support.google.com/webmasters/answer/163634?hl=ja

以上ご参考までに

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2015/06/09 12:37

    takito  様
    早いご回答心から感謝いたします。
    さっそく
    http://officehit.biz/safe3506
    を参考に実施しました!!
    3行赤くなりました!
    (被害が少なくてよかったです)

    今から該当ファイルをクリーンナップします!

    今朝方、さくらも助けてくれませんでした!
    googleも助けてくれない中
    救いの手を差し伸べていただき
    心から深く感謝いたします。

    googleの再申請が通りましたら
    なるべく早めにベストアンサーとして推させてください。
    取り急ぎお礼のみお伝えいたします。

     本当にありがとうございます。感謝いたします。

    キャンセル

  • 2015/06/09 14:29

    まずは、問題ファイルの抽出ができてなによりです

    ただやはり、別途daiveさんのご指摘されているように
    ・何が原因で感染、汚染してしまったか
    ・他に影響はないか
    という点の確認、対応こそが重要と思います

    wordpress のプラグインから感染するケースもあるようなので、daiveさんのご意見を参考にローカル環境の調査等は必ずされた方がよいと思います

    ※「WEBサイトがマルウェアにやられた時の対処方法」で検索すると、どんな手順でクリーンアップしたか等、参考になるものが見つかると思います

    道のりは長くなるかもしれませんが、サイト再開までがんばってください

    キャンセル

  • 2015/06/09 17:32

    takito様

    またまた、的確なご指導ありがとうございます。
    自分は甘すぎました。。
    急がば回れの心で、ひとつひとつ解決していきたいです。
    まだgoogleの再申請ができていないので、もうしばらくお時間ください。

    キャンセル

  • 2015/06/15 14:47

    google adwords より
    ようやく電話、メールいただきました。

    解決しました。 

    サイトは正常であり感染していません。
    takito様
    また
    daive様

    心より感謝いたします。
    またなにかあればよろしくお願い致します。



    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.61%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る

  • PHP

    19901questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • WordPress

    6990questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • MySQL

    5708questions

    MySQL(マイエスキューエル)は、TCX DataKonsultAB社などが開発するRDBMS(リレーショナルデータベースの管理システム)です。世界で最も人気の高いシステムで、オープンソースで開発されています。MySQLデータベースサーバは、高速性と信頼性があり、Linux、UNIX、Windowsなどの複数のプラットフォームで動作することができます。

  • Ajax

    1070questions

    Ajaxとは、Webブラウザ内で搭載されているJavaScriptのHTTP通信機能を使って非同期通信を利用し、インターフェイスの構築などを行う技術の総称です。XMLドキュメントを指定したURLから読み込み、画面描画やユーザの操作などと並行してサーバと非同期に通信するWebアプリケーションを実現することができます。

  • セキュリティー

    449questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

  • トップ
  • PHPに関する質問
  • マルウェアに感染してしまいました。ファイルを切り分けたいのですが検証方法がわかりません。