マルウェアに感染してしまいました。ファイルを切り分けたいのですが検証方法がわかりません。

###前提・実現したいこと

私がデザインしお客様に納入したホームページがマルウェアに感染してしまいました。
ファイルを切り分けたいのですが検証方法がわかりません。

サーバ：さくらのレンタルサーバスタンダード
CMS:WordPress バージョン 4.2.2
どうして発覚したか：お客様がgoogleadwordsに広告掲載依頼したら
以下の連絡がありました。

###発生している問題・エラーメッセージ

googleadwordsの担当より

不正なソフトウェアに感染する恐れのある要素が確認されますため、広告掲載ができかねる状況となり、
大変ご心配をおかけしていることと存じます。

ウェブサイトを審査担当部署にてお調べしたところ、サイト < http://hogehoge.com/ > に関しましては、
不正なソフトウェアに感染する恐れのある要素が確認されております。

恐れ入りますが、円滑に広告掲載をしていただくためには、サイトに不正なソフトウェアに感染する
恐れのある要素がない状況にしていただく必要がございます。

お力添えできる範囲が限られており大変恐縮ですが、下記にて出来る限りの情報を記載いたしますので、ご確認いただけますでしょうか。

審査担当部署にて下記ページがマルウェアに関連しているとの懸念があるようでございますので、
このページ（ディレクトリ）を中心にサイトのログなどを今一度、ご確認いただけましたら幸いです。

追加）これ危険なので近づかないでください。。。ハッカーらしいです。。↓↓↓↓↓↓↓↓
■該当リンク先

http://zi1.zeroredirect1.com/zcvisitor/c27726f1-0d33-11e5-8cc5-06a80d05e7e1

https://p2.dntrax.com/tr?id=99b6ab108a1fc7b8a0855cf64b0d33e7f49b7c00.r

※念のため、上記 2 件のリンクは外しております。

また、上記はあくまで 1 例であり、その他のリンクもマルウェアと判断されている場合がございますため、ぜひウェブマスターツールをご活用くださいませ。
※全デバイス（PC、タブレット、スマートフォン等）において、不正なソフトウェアがないようご確認をおすすめいたします。

該当リンク先から
問題のファイルを探し出すことができますか？

現在さくらインターネットさんにも依頼してます。

wordpress のアク解でも
/wp-admin/admin-ajax.php
が多いようです。公開サーバ上のadmin-ajax.phpを見ても
問題なさそうなんですが。
/wp-login.php
も問題なさそうなんですが。

今回、ログイン名が丸見えだったという不注意があり
すぐに隠し、ログイン名とパスワードを変えました。（6/7）

■該当リンク先

http://zi1.zeroredirect1.com/zcvisitor/c27726f1-0d33-11e5-8cc5-06a80d05e7e1

https://p2.dntrax.com/tr?id=99b6ab108a1fc7b8a0855cf64b0d33e7f49b7c00.r

を頼りに
ログの確認はできますか？どのファイルが問題か切り分けたいです。。。。

方法がわかる方はいらっしゃいますでしょうか？

いつもたいへん申し訳ございません、どうぞよろしくお願い致します。

###ソースコード

lang
1ここにご自身が実行したソースコードを書いてください

###補足情報(言語/FW/ツール等のバージョンなど)

行動規範の内容に同意します

回答2件

当該の、WEBサイトのみの感染、汚染との確認は、されましたか？
何が原因で、マルウェア感染、汚染したか調べましたか？
コードが感染、汚染された、発見できた、駆除出来た、で済ますと、
原因、侵入ルートを見逃すことになります。
⇒ローカル環境が原因で無い事、WEBサイトの設定に問題があるか、無いか
アプリ(WordPress?)の、セキュリティ問題なのかとか、
バージョンアップ、パッチで解消するか？
’
杞憂かもしれませんが、
私だったら、
WEBサイトだけでなく、ローカル環境、バックアップ等も、確認します。
世代毎のバックアップがあれば、バックアップレベルで、確認できますよね？
また、ローカル環境が汚染されていたら、WEBサイトだけの処置は、無意味になりかねません。
ローカル環境といっても、範囲の限定が、可能かどうかは、書込みからは不明です。
ローカル環境が、汚染されている場合は、汚染された機器、環境では、
ウィルス対策ソフト、マルウェア対策ソフトなどの、チェックをかけても、
汚染が検出出来ない可能性もあります。
⇒クリーンな環境でインストールされた、
適切なウィルス対策ソフト、マルウェア対策ソフトなどにて、
汚染可能性がある機器から取外したHDDなりを、
クリーンな機器でチェックする事が、必用かもしれません。

投稿2015/06/09 04:39

daive

総合スコア2028

MasacoHori

2015/06/09 08:32

daive様正しいご指摘、心より感謝いたします。 daive様が私に教えて下さった内容を一生忘れず肝に命じて、サイト作成いたします。時間に追われ、「なんとか解決」とオロオロしている初心者+独学です。セキュリティは、制作者にとって必須かつ絶対にクリアしなければいけない問題ですね。ご指示いただいた方法を時間をかけ、原因や侵入ルートなどを丁寧に検証していきます。ローカル環境が汚染されてたら、最悪（プロ失格）ですものね。かなり高度な方法を親切に、やさしく教えていただき心より感謝します。セキュリティでわからない事が起きたらまたこちらで質問させてください。お時間使ってご指導いただき、本当にありがとうございました。

daive

2015/06/09 09:18

どうしてもな時の、後ろ向きな対応例です。面倒ですし、生産的ではありません。お勧め出来ません。止むを得ず行う必要がある場合に、準備はしておいた方が良いカモ。 ' ＩＰＶ４の割当が終了した現在では、国内限定サイトであれば、海外サイトを遮断する方法も取れたりします。但し、日本への割当ＩＰ＝国内ＩＰで安全、ではないので、注意が必要です。ＩＰＶ４の割当の移動は、頻繁では無いにしろ、有る可能性も。スマホのブラウザでの、サイトデータ圧縮表示機能は、海外サーバーで実現されていたりします。対応が、悩ましいです。動的なのかどうか、未確認。 FireFox、Clome、：Windows / Android でサーバーが異なる様子ドルフィン等、他のブラウザ：米国企業？日本へのイチャモン国系じゃない？ ’ ログ等を確認して、攻撃パターンを調べるのも必要かもしれません。 MySQL インストールフォルダチェック：普通にあります。南米、旧東欧の後に、中華ＩＰ、韓国ＩＰアクセス：普通にあります。出来うる限りの範囲のＩＰで拒否。 robots.txt で、拒否しているにもかかわらず、クローラが、サイトアクセスした跡がある。：当該ＩＰをブロック単位で拒否良く知られたポートへの、ポートスキャン：当該ＩＰをブロック単位で拒否ＩＰの割当などの検索、確認サイトは、検索ワード：ＩＰ　確認

MasacoHori

2015/06/11 20:07

ご無沙汰してすみません、まだ未解決です。。再申請したら、また別（似たような）のマルウェアがあるとの返事が来ましてすべての公開データをDLし、スキャンしたのですが、ヒットしません。ローカルはターミナルを使い確認したのですが無事でした。感染ルートは、ログイン名が丸見えだったという最初のミス（今は見えません）によるブルートフォースアタックだろうと思います。この質問を見た方、後からわかったことなのですが該当リンク先　URLにはとばないでください。危険ですから。。このサイトは海外のお客様も見られるので海外を遮断することはできません。 daive様の言われるよう、ログを確認し感じの悪いIPはブロックしました。 wordpressに対してWP-Ban（指定した接続元IPアドレスをブロックできる）というプラグインを入れました。またLimit Login Attemptsというログイン制限プラグインも入れました。 http://note100yen.com/en-130422.html http://lhsp.s206.xrea.com/misc/linkscan.html などを参考に色々テェックしましたが、とりあえずはsafeです。。 googleadwordsに再々申請した返事はまだないです。。 3日くらいかかるそうなのですが、週をまたぎそうなので金曜日に返事がなければ来週に再送信してみます。。 daive様、今回もいろいろありがとうございました。心より感謝します。またわからないことがあったら質問させてください。どうぞよろしくお願い致します。

行動規範の内容に同意します

ベストアンサー

サイトがマルウェア感染したとのことで大変ですね・・・

詳しくはないのですが、他人ごとではないので調べてみました

取り急ぎ、こちらが参考になりそうです
http://officehit.biz/safe3506

またgoogleでもサイト診断してくれるようです
https://support.google.com/webmasters/answer/163634?hl=ja

以上ご参考までに

投稿2015/06/09 02:17

takito

総合スコア3111

MasacoHori

2015/06/09 03:37

takito 　様早いご回答心から感謝いたします。さっそく http://officehit.biz/safe3506 を参考に実施しました！！ 3行赤くなりました！（被害が少なくてよかったです）今から該当ファイルをクリーンナップします！今朝方、さくらも助けてくれませんでした！ googleも助けてくれない中救いの手を差し伸べていただき心から深く感謝いたします。 googleの再申請が通りましたらなるべく早めにベストアンサーとして推させてください。取り急ぎお礼のみお伝えいたします。　本当にありがとうございます。感謝いたします。

takito

2015/06/09 05:29

まずは、問題ファイルの抽出ができてなによりですただやはり、別途daiveさんのご指摘されているように・何が原因で感染、汚染してしまったか・他に影響はないかという点の確認、対応こそが重要と思います wordpress のプラグインから感染するケースもあるようなので、daiveさんのご意見を参考にローカル環境の調査等は必ずされた方がよいと思います ※「WEBサイトがマルウェアにやられた時の対処方法」で検索すると、どんな手順でクリーンアップしたか等、参考になるものが見つかると思います道のりは長くなるかもしれませんが、サイト再開までがんばってください

MasacoHori

2015/06/09 08:32

takito様またまた、的確なご指導ありがとうございます。自分は甘すぎました。。急がば回れの心で、ひとつひとつ解決していきたいです。まだgoogleの再申請ができていないので、もうしばらくお時間ください。

MasacoHori

2015/06/15 05:47

google adwords　よりようやく電話、メールいただきました。解決しました。　サイトは正常であり感染していません。 takito様また daive様心より感謝いたします。またなにかあればよろしくお願い致します。

行動規範の内容に同意します

あなたの回答