WEBサイトがマルウェア感染!無料の対処法と駆除でストレスフリー

ある日、突然の出来事です。
サイトの状態に重要な問題が発見されました。
マルウェアへの感染を検出しました。

と、グーグルさんから警告がきました。
そう、不幸は突然にやってくるものなのです。

 
僕と同じような焦燥感を抱き、このサイトに辿り着いた方は安心してください。
ワードプレスのサイトがマルウェアに感染したときに
無料ですぐに解決できる、駆除と対処法をここに記しておきました。

マルウェア対処

 ワードプレスのサイトがマルウェアに感染したらやるべきこと

説明は後にして、まずはマルウェアを駆除しましょう。
一つ残らずマルウェアを完全に削除していきます。
手順は以下の通りです。

  1. マルウェア駆除プログラムファイルをダウンロード
  2. サーバーにアップ
  3. ファイルにアクセスする(プログラムの実行)
  4. ウエブマスターツールでインデックス

では、はじめて行きましょう。
まずはプログラムファイルをダウンロードします。

 マルウェア駆除プログラムダウンロード

ファイルをダウンロードし、解凍したらフォルダの中にある
『fixit.php』ファイルを、マルウェアに感染したドメインにアップします。

アップロードする場所は、

感染したドメイン名 / public_html / fixit.php

アップロードが完了したら、
ブラウザで『fixit.php』にアクセスします。

http:// 感染したドメイン名 / fixit.php

というようになります。

 サーバーにアップするためのFTPソフトについてはこちら

fixit.phpにアクセスしたら、マルウェア駆除プログラムが起動します。
ブラウザの画面が固まったようになりますが、
気にせずそのまま、待ちましょう。

1分も経たないうちに、
以下の画像のような画面が表示されます。
赤いのが感染していたファイルです。

マルウェア駆除フリー

2,3分、長くても5分はかからない程度、待っていると
スキャンが終わります。

マルウェア削除フリー

431個のファイルがマルウェアに感染していたようですが、
無事にすべて削除できました。

この fixit.php ファイルは
海外のサイトをいくつか参考にしてつくった、
phpの構文が書いてあるプログラムファイルです。

得体が知れないものをサーバーに追いとくのは気持ち悪いと思うなら、
マルウェアが削除が確認できたら、ファイルは消して大丈夫です。

 
最後にウエブマスターツールから
『これらの問題を修正しました』
にチェックをいれて、再審査リクエストを送信。

 ウエブマスターツール登録がまだの方はこちら

ウェブマスターツール再審査

以上で、マルウェアの駆除は完了です。

 サイトがマルウェアに感染したらどうなるの?

マルウェアの解決方法だけわかればええわ!
って人も多いでしょうけど、せっかくいろいろと調べたので、
備忘録として、残しておきます。

マルウェアにも何種類かあるようで、
僕が感染したのは、base64というタイプのコードを
phpファイルに書き込まれるものでした。

base64decode

その数、数百個。
サイトを開いた時に読み込むphpファイルは
ほとんど改ざんされていたという。。。。

使用しているテンプレートテーマのファイルはもちろんですが、
インストールしているだけのテンプレートまで、
ご丁寧にすみずみまで、マルウェアが感染していました(笑

これによってどうなるのかというと、
感染したサイトにアクセスすると、
違うサイトに飛ばされてしまいます。(リダイレクトされる)

他の誰かに感染するというタイプではないのですが、
グーグルさんにも見つかってしまうと、
そのサイトは検索インデックスからも消され、
アクセスしようとしても警告がでて、
観覧できなくなってしまいます。

サイトがアク禁

次に、PHPに書かれた base64code を
こちらのデーター変換ツールを参考に解析してみました。

データ解析ツール

どうやらphpコードがでてきましたが、
よくわかりません。

マルウェアの正体

見た感じだと、ヤフー、グーグル、ツイッター、フェイスブックなど
どこからアクセスが来てるのかを解析してるような感じがします。
そして、赤枠のURLに飛ぶようになってました。

改ざんされた原因や手口など
技術的なことは、まったくわかりませんが、
第三者に被害がでるようなものでなくて良かったです。

 マルウェア診断ツーツで感染チェック

僕は、サーバーを分散させ
サイトをいくつも管理しているのですが、
とあるサーバーだけ複数のサイトが
マルウェアの被害にあってました。

それも一つや二つではなく、
数十個単位で感染していました。。。。。

しかし、同じサーバーでも
被害にあったのはワードプレスサイトだけで、
htmlサイトは無事でした。

サーバーに問題があったのではなく、
ワードプレスを狙った攻撃のようです。

マルウェア

そこで、管理しているサイト全部が
マルウェアに感染していないかを
チェックすることにしました。

その時に役に立ったのが、
『Theme Authenticity Checker (TAC)』
というプラグインです。

このプラグインは、ワードプレスのテーマのエラーや
不正なソースが含まれていないかをチェックしてくれます。

ネットで拾って来たフリーのワードプレステーマなどに
なにか怪しいコードが入っていないか(よくあるらしい!)、
マルウェアなどの感染で、コードが改ざんされていないか、
などを見つけることが出来ます。

使い方は簡単。
プラグインをインストールするだけです。

ダッシュボードのプラグイン⇒新規追加から
Theme Authenticity Checker (TAC)

を検索したら出てきます。
ワードプレステーマチェック

インストール〜有効化したら、ダッシュボードの外観の所に、
TACというのが追加されているので、『TAC』をクリックします。

現在インストールされているテーマが表示されます。
テーマに問題がなければ、『Theme Ok!』と表示されます。

ワードプレステーマチェック

僕はここで『OK』が出たから、
絶対的に、安心、安全と思っていましたが、
大きな勘違いでした。

そもそも何を根拠に
このプラグインをそこまで信用してるわけ?
というツッコミをいただきました。
確かにそれもそうだわ(笑

後々、調べてわかったことですが、
手のこんだ悪意のあるソースは、
これでは検出されないようです。

プラグインが悪いということではなくて、
そんな簡単に、テーマチェック出来る方法はない。
とのお言葉をいただきました。

このときは、運良く?! 以下の画像のように、
マルウェデ改ざんされているテーマを検出してくれました。
問題のソース部分を赤で目立つように表示されています。

ワードプレステーマチェック

マルウェアに改ざんされた程度なら、
テーマチェックのプラグインでも
検出できたということですね。

こういうプラグインがあって、
こんな風に試行錯誤しました。
という備忘録で、ご紹介しました。

 ファイル改ざんの対策として

最後に、外部からの攻撃に対しての対策ですが、

  • 定期的にパスワードを変える
  • ワードプレスのバージョンは常に最新版
  • プラグインのアップデート

と、こんなことを書くと、
(*´Д`)/ヽァ!?
と思われるかもしれませんが、
技術も知識もない、情報弱者な自分ができる対策は
こんな当たり前のことが一番の最善策なのです。

何もやらないよりは
絶対にやったほうがいいし、
当たり前のことが出来てなかったから、
マルウェアに感染してしまったのも事実です。

パスワードの変更や、アップデートは
意外に面倒で、ついおろそかにしてしまいがちですが、
その一手間を怠ると、とんでもない目にあったという(笑
いい経験をさせてもらいました。

同じような被害にあわれてここに辿り着いた方は、
この気持ちがよーくわかると思いますが(笑

みなさまも、お気をつけくださいませ。

 

絶対に入れるべきwordpressのプラグイン一覧と使い方まとめ

はじめの一歩

アフィリエイトとは?
自分の得意な事、好きな趣味などをブログやインターネットを使って発信し、広告収入を得てみませんか?特に難しい技術や知識はいりません。その方法を知っているか、知らないか。ただそれだけの差です。
実践して報酬を手にしよう!
こんなに簡単!広告収入の仕組みを解説します。実際にやってみてください。パソコンとインターネットがあれば、誰もが数万円のお小遣いならすぐ稼げます。一度限りの贅沢に使うか、継続した数万円の為に使うかは、自分次第。
チェンジザワールド!!
この先、このままでは不安。何かしなきゃと、わかってはいるけど、何もしていない。 何をしていいのか、わからない。 考えてるだけじゃなく、空いた時簡に収入を得れるように、今こそ、はじめの一歩を踏み出しましょう。

5件のコメント

  • まっちゃん

    はじめまして。ブログの記事を拝見しました。
    弊社のサイトもマルウェアに感染しているらしく、先日警告がきました。
    このブログを拝見して試してみようかと思案中なのですが、一つ気になる事がありまして質問させていただきます。
    上記のプログラム実施後に削除されるとあったのですが、これはファイルそのものを削除するということでしょうか??
    ファイルそのものを削除するとなると、ワードプレス自体に不具合が生じないのでしょうか??(ファイルが無い為)
    それとも、この削除という表現はファイルの中の悪意あるコードを取り除いてもらえるという認識なのでしょうか??
    お忙しい中、ご返答を頂けますと助かります。

  • tako

    まっちゃん様

    初めまして。takoです。
    いつもご覧頂きありがとうございます。

    ご質問の件に関しましてですが、
    この削除という表現はファイルの中の悪意あるコードを取り除という意味です。

    私の場合は、このプログラムを実行したところで、ワードプレスに不具合がでたことはありませんでした。しかし、何かあった時の為に、必ずバックアップは取ってから実行しましょう。

    私は一切の責任を取りませんので、あくまで自己責任の元で実行をお願い致します。

    また、専門業者にお願いして駆除して頂く事が一番安全ではあると思います。特に会社として運営されているサイトであるのであれば、慎重すぎるほうがいいかと思われます。

    ありきたりのアドバイスしか出来なくて申し訳ございません。
    貴社の発展をお祈り致します。
    ご安全に!

    tako 拝

  • まっちゃん

    taka様
    丁寧な回答ありがとうございます。
    バックアップをとったあと、一回実行してみようかと思います。
    回答いただくことでなんとなく、勇気が湧いてきます。
    ありがとうございました。

  • 哲やん

    はじめまして。
    バックドア型のマルウェアに感染した模様で、WPをインストールしたフォルダ以外にhtmlデータが改ざん、リネームされていました。

    別のサイトへ飛ばすようなマルウェアではないようでしたが以下の症状に見舞われています。

    「index.html」を「index.php」と改ざんされ、「index.html.bak.bak」へアクセスさせるようです。
    「index.html.bak.bak」はオリジナルの「index.html」と内容は変わりませんが、リンク先と違ったファイル名なので困っています。

    WP内のデータも改ざんされている模様です。
    ご提供いただいたプログラムをインストールしてもかなりの時間がかかり、終わる気配がありません。

    どのように対処したらいいのかをご教示いただければ幸いです。

  • おやじ

    恐れ入ります。
    上記手順にて、ブラウザでの『fixit.php』にアクセスしたところ『504 Gateway timeout』になってしまいます。
    設定が悪いのかなんなのか…
    Chromeとインターネットエクスプローラー11で両方試したのですが、ダメでした
    何か解決策はありますでしょうか?

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*