質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.35%

  • WordPress

    7620questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • セキュリティー

    475questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

改ざんされたWordpressサイトのバックアップファイルのローカルでの動き

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 2
  • VIEW 787

r_iida

score 72

関わっているWordpressサイトが改ざんされました。
https://www.orange-ss.com/column/0102.html
こちらのサイトを参考にしながら対応し、
一旦、サーバ上のファイルは全て削除しました。
その際に参考ページに従ってWordpressファイル一式を
バックアップしました。

バックアップファイルはサイトの設定確認や改ざんファイルの
検証などに活用できますが、この中のどこかにサイトを改ざんさせる
震源となるプログラムが含まれているかと思います。

こうしたプログラムが活動をするのはサーバ上のみでしょうか。
ローカル環境でも何か怪しい動きを行い得るのでしょうか。
(その場合はPCへの影響が気になっています)

<症状>
・サイトの全ページが404エラーで表示されなくなる。
(Wordpressのダッシュボードは表示され、ログイン可能、
サーバー上にもWordpressのファイル一式は存在する)
・Wordpress直下のindex.phpが改ざんされている。
その他にも改ざんされたphpファイルや見知らぬphpファイルあり
→別ページにリダイレクトさせようとする記述
→正規表現でパスを抜こうとしているような記述
→大量の文字列 など
・見知らぬフォルダが作られており、中に大量のHTMLファイルが。
中身は怪しい通販ページで、さらにJSで別ドメインへ
リダイレクトさせる記述あり。

<対処>
・WordpressダッシュボードのPWを変更
・Wordpressとプラグインを全て最新バージョンに
・index.phpを元に戻す→サイト表示復活(その後は再発なし)
・怪しいファイルとフォルダを削除
・翌日、削除したphpファイルの一部が復活(再発)、
別の場所にも新たなPHPファイルを発見
・FTPサーバのパスワードを変更
・データベースのパスワードを変更
・サーバ上のワードプレスファイルをバックアップ
(投稿のxmlファイル、データベースのsqlファイルも)
・サーバ上のワードプレスファイルを全て削除

<今後>
経過を見守っていますが、その後サーバ上には再発がないようです。
バックアップしたWordpressファイルは基本使わずに、
新たにインストールしたWordpressに以前のテーマやエントリーを
加えていこうかと思います。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

+3

以下、参考程度ですが。

WordPressの脆弱性対応は「最新版に更新しろ」というものが多いですが。
プラグインなどには最新版であっても脆弱性への対処が出来てない物があるかも知れません。
また、WordPressやプラグインのバージョンに依存した脆弱性以前に、設定自体が原因というケースも懸念されます。
設定が問題であれば、いくらソフトを最新版にしても「穴」は残ってしまいます。

サイト復旧後、脆弱性スキャナとかでなにか脆弱性が残っていないか確認しましたか?
もし実施可能であれば、脆弱性スキャナで診断をかけておいた方が良いと思います。

WordPress向けのセキュリティスキャナだと、例えばWPScanあたりとか。
自分で実行環境を用意するのが困難な場合は、企業で提供している脆弱性診断サービスを利用する手もあるかと。
ただ、そのサービスを提供しているところが怪しいところでないか十分に注意する必要はありますが。

※参考:ウォルティ、WordPress脆弱性スキャン機能を提供開始

こうしたプログラムが活動をするのはサーバ上のみでしょうか。 
ローカル環境でも何か怪しい動きを行い得るのでしょうか。 
(その場合はPCへの影響が気になっています)

まず、ローカル環境はOSパッチなど常に最新にして、セキュリティ対策ソフトを導入して、パターンファイルも最新になっているでしょうか。
もしローカルで動いてしまうようなものなら、それである程度ブロックされる場合もあるかと。

クライアントサイドで実行されるスクリプトがある場合、うっかりブラウザなどで開くと活動する恐れがありますよね。
また、PHPなどローカルで実行出来るように関連付けていたりすると、うっかり実行してしまう可能性もありますし。
そのようなうっかりが懸念される場合は、圧縮するなりしてすぐ実行出来ないようにして置いた方が良いかと。

もし改ざんが疑われるファイルを検証をするのであれば。
なるべく外部に接続されていない隔離された検証用の環境を用意し、そちらで確認した方が良いかと思います。
VMwareやVirtualBox上の仮想マシンで検証用サーバを構築して、ホスト側からネットワーク接続を切った状態にしてから、仮想コンソールでいろいろ開いてみるとか。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/03/14 22:09

    ご回答いただき、ありがとうございました。
    お返事が遅くなってしまい、申し訳ございません。

    >WordPressやプラグインのバージョンに依存した脆弱性以前に、設定自体が原因というケースも懸念されます。

    不勉強で申し訳ございません。
    上記の「設定」とはサーバのセキュリティ設定という意味でしょうか。

    Wordpressサイトはまだ復旧しておりません。
    復旧しましたらセキュリティスキャナの診断を行いたく思います。
    WPScanの知識がないため調べております。

    ローカル環境でもスクリプトが実行される可能性があることは理解できました。
    ネットワーク接続を切ったり、仮想サーバで検証したりと、原因究明に慎重を期した方が良いため、
    サイト復旧よりも優先順位は低くなるかと存じました。

    キャンセル

  • 2017/03/20 18:55

    その後、ローカルのバックアップファイルを確認したところ、新しい日付で修正や追加されたファイルはないようでした。
    kanbeworksさんのご指摘により、ローカルでも不正プログラムは動く可能性があることがわかりましたので、ひとまず原因の検証はしないでおこうと思います。

    復旧サイトは最新のWPファイルをベースに行います。
    これで再発すよようでしたらWPファイル以外のところに原因があると思うので様子を見たく思います。

    脆弱性スキャンについては知識不足のため、調べつつ不明点が生じましたらまた改めて質問を立てたく思います。
    詳しい情報ありがとうございました。

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.35%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

同じタグがついた質問を見る

  • WordPress

    7620questions

    WordPressは、PHPで開発されているオープンソースのブログソフトウェアです。データベース管理システムにはMySQLを用いています。フリーのブログソフトウェアの中では最も人気が高く、PHPとHTMLを使って簡単にテンプレートをカスタマイズすることができます。

  • セキュリティー

    475questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。