ある日、突然の出来事です。
サイトの状態に重要な問題が発見されました。
マルウェアへの感染を検出しました。
と、グーグルさんから警告がきました。
そう、不幸は突然にやってくるものなのです。
僕と同じような焦燥感を抱き、このサイトに辿り着いた方は安心してください。
ワードプレスのサイトがマルウェアに感染したときに
無料ですぐに解決できる、駆除と対処法をここに記しておきました。
ワードプレスのサイトがマルウェアに感染したらやるべきこと
説明は後にして、まずはマルウェアを駆除しましょう。
一つ残らずマルウェアを完全に削除していきます。
手順は以下の通りです。
- マルウェア駆除プログラムファイルをダウンロード
- サーバーにアップ
- ファイルにアクセスする(プログラムの実行)
- ウエブマスターツールでインデックス
では、はじめて行きましょう。
まずはプログラムファイルをダウンロードします。
ファイルをダウンロードし、解凍したらフォルダの中にある
『fixit.php』ファイルを、マルウェアに感染したドメインにアップします。
アップロードする場所は、
アップロードが完了したら、
ブラウザで『fixit.php』にアクセスします。
http:// 感染したドメイン名 / fixit.php
というようになります。
fixit.phpにアクセスしたら、マルウェア駆除プログラムが起動します。
ブラウザの画面が固まったようになりますが、
気にせずそのまま、待ちましょう。
1分も経たないうちに、
以下の画像のような画面が表示されます。
赤いのが感染していたファイルです。
2,3分、長くても5分はかからない程度、待っていると
スキャンが終わります。
431個のファイルがマルウェアに感染していたようですが、
無事にすべて削除できました。
この fixit.php ファイルは
海外のサイトをいくつか参考にしてつくった、
phpの構文が書いてあるプログラムファイルです。
得体が知れないものをサーバーに追いとくのは気持ち悪いと思うなら、
マルウェアが削除が確認できたら、ファイルは消して大丈夫です。
最後にウエブマスターツールから
『これらの問題を修正しました』
にチェックをいれて、再審査リクエストを送信。
以上で、マルウェアの駆除は完了です。
サイトがマルウェアに感染したらどうなるの?
マルウェアの解決方法だけわかればええわ!
って人も多いでしょうけど、せっかくいろいろと調べたので、
備忘録として、残しておきます。
マルウェアにも何種類かあるようで、
僕が感染したのは、base64というタイプのコードを
phpファイルに書き込まれるものでした。
その数、数百個。
サイトを開いた時に読み込むphpファイルは
ほとんど改ざんされていたという。。。。
使用しているテンプレートテーマのファイルはもちろんですが、
インストールしているだけのテンプレートまで、
ご丁寧にすみずみまで、マルウェアが感染していました(笑
これによってどうなるのかというと、
感染したサイトにアクセスすると、
違うサイトに飛ばされてしまいます。(リダイレクトされる)
他の誰かに感染するというタイプではないのですが、
グーグルさんにも見つかってしまうと、
そのサイトは検索インデックスからも消され、
アクセスしようとしても警告がでて、
観覧できなくなってしまいます。
次に、PHPに書かれた base64code を
こちらのデーター変換ツールを参考に解析してみました。
どうやらphpコードがでてきましたが、
よくわかりません。
見た感じだと、ヤフー、グーグル、ツイッター、フェイスブックなど
どこからアクセスが来てるのかを解析してるような感じがします。
そして、赤枠のURLに飛ぶようになってました。
改ざんされた原因や手口など
技術的なことは、まったくわかりませんが、
第三者に被害がでるようなものでなくて良かったです。
マルウェア診断ツーツで感染チェック
僕は、サーバーを分散させ
サイトをいくつも管理しているのですが、
とあるサーバーだけ複数のサイトが
マルウェアの被害にあってました。
それも一つや二つではなく、
数十個単位で感染していました。。。。。
しかし、同じサーバーでも
被害にあったのはワードプレスサイトだけで、
htmlサイトは無事でした。
サーバーに問題があったのではなく、
ワードプレスを狙った攻撃のようです。
そこで、管理しているサイト全部が
マルウェアに感染していないかを
チェックすることにしました。
その時に役に立ったのが、
『Theme Authenticity Checker (TAC)』
というプラグインです。
このプラグインは、ワードプレスのテーマのエラーや
不正なソースが含まれていないかをチェックしてくれます。
ネットで拾って来たフリーのワードプレステーマなどに
なにか怪しいコードが入っていないか(よくあるらしい!)、
マルウェアなどの感染で、コードが改ざんされていないか、
などを見つけることが出来ます。
使い方は簡単。
プラグインをインストールするだけです。
ダッシュボードのプラグイン⇒新規追加から
Theme Authenticity Checker (TAC)
を検索したら出てきます。
インストール〜有効化したら、ダッシュボードの外観の所に、
TACというのが追加されているので、『TAC』をクリックします。
現在インストールされているテーマが表示されます。
テーマに問題がなければ、『Theme Ok!』と表示されます。
僕はここで『OK』が出たから、
絶対的に、安心、安全と思っていましたが、
大きな勘違いでした。
そもそも何を根拠に
このプラグインをそこまで信用してるわけ?
というツッコミをいただきました。
確かにそれもそうだわ(笑
後々、調べてわかったことですが、
手のこんだ悪意のあるソースは、
これでは検出されないようです。
プラグインが悪いということではなくて、
そんな簡単に、テーマチェック出来る方法はない。
とのお言葉をいただきました。
このときは、運良く?! 以下の画像のように、
マルウェデ改ざんされているテーマを検出してくれました。
問題のソース部分を赤で目立つように表示されています。
マルウェアに改ざんされた程度なら、
テーマチェックのプラグインでも
検出できたということですね。
こういうプラグインがあって、
こんな風に試行錯誤しました。
という備忘録で、ご紹介しました。
ファイル改ざんの対策として
最後に、外部からの攻撃に対しての対策ですが、
- 定期的にパスワードを変える
- ワードプレスのバージョンは常に最新版
- プラグインのアップデート
と、こんなことを書くと、
(*´Д`)/ヽァ!?
と思われるかもしれませんが、
技術も知識もない、情報弱者な自分ができる対策は
こんな当たり前のことが一番の最善策なのです。
何もやらないよりは
絶対にやったほうがいいし、
当たり前のことが出来てなかったから、
マルウェアに感染してしまったのも事実です。
パスワードの変更や、アップデートは
意外に面倒で、ついおろそかにしてしまいがちですが、
その一手間を怠ると、とんでもない目にあったという(笑
いい経験をさせてもらいました。
同じような被害にあわれてここに辿り着いた方は、
この気持ちがよーくわかると思いますが(笑
みなさまも、お気をつけくださいませ。
Warning: Use of undefined constant 編集 - assumed '編集' (this will throw an Error in a future version of PHP) in /home/xxtakoxx/officehit.biz/public_html/wp-content/themes/refinepro/functions.php on line 453
はじめまして。ブログの記事を拝見しました。
弊社のサイトもマルウェアに感染しているらしく、先日警告がきました。
このブログを拝見して試してみようかと思案中なのですが、一つ気になる事がありまして質問させていただきます。
上記のプログラム実施後に削除されるとあったのですが、これはファイルそのものを削除するということでしょうか??
ファイルそのものを削除するとなると、ワードプレス自体に不具合が生じないのでしょうか??(ファイルが無い為)
それとも、この削除という表現はファイルの中の悪意あるコードを取り除いてもらえるという認識なのでしょうか??
お忙しい中、ご返答を頂けますと助かります。
Warning: Use of undefined constant 編集 - assumed '編集' (this will throw an Error in a future version of PHP) in /home/xxtakoxx/officehit.biz/public_html/wp-content/themes/refinepro/functions.php on line 453
まっちゃん様
初めまして。takoです。
いつもご覧頂きありがとうございます。
ご質問の件に関しましてですが、
この削除という表現はファイルの中の悪意あるコードを取り除という意味です。
私の場合は、このプログラムを実行したところで、ワードプレスに不具合がでたことはありませんでした。しかし、何かあった時の為に、必ずバックアップは取ってから実行しましょう。
私は一切の責任を取りませんので、あくまで自己責任の元で実行をお願い致します。
また、専門業者にお願いして駆除して頂く事が一番安全ではあると思います。特に会社として運営されているサイトであるのであれば、慎重すぎるほうがいいかと思われます。
ありきたりのアドバイスしか出来なくて申し訳ございません。
貴社の発展をお祈り致します。
ご安全に!
tako 拝
Warning: Use of undefined constant 編集 - assumed '編集' (this will throw an Error in a future version of PHP) in /home/xxtakoxx/officehit.biz/public_html/wp-content/themes/refinepro/functions.php on line 453
taka様
丁寧な回答ありがとうございます。
バックアップをとったあと、一回実行してみようかと思います。
回答いただくことでなんとなく、勇気が湧いてきます。
ありがとうございました。
Warning: Use of undefined constant 編集 - assumed '編集' (this will throw an Error in a future version of PHP) in /home/xxtakoxx/officehit.biz/public_html/wp-content/themes/refinepro/functions.php on line 453
はじめまして。
バックドア型のマルウェアに感染した模様で、WPをインストールしたフォルダ以外にhtmlデータが改ざん、リネームされていました。
別のサイトへ飛ばすようなマルウェアではないようでしたが以下の症状に見舞われています。
「index.html」を「index.php」と改ざんされ、「index.html.bak.bak」へアクセスさせるようです。
「index.html.bak.bak」はオリジナルの「index.html」と内容は変わりませんが、リンク先と違ったファイル名なので困っています。
WP内のデータも改ざんされている模様です。
ご提供いただいたプログラムをインストールしてもかなりの時間がかかり、終わる気配がありません。
どのように対処したらいいのかをご教示いただければ幸いです。
Warning: Use of undefined constant 編集 - assumed '編集' (this will throw an Error in a future version of PHP) in /home/xxtakoxx/officehit.biz/public_html/wp-content/themes/refinepro/functions.php on line 453
恐れ入ります。
上記手順にて、ブラウザでの『fixit.php』にアクセスしたところ『504 Gateway timeout』になってしまいます。
設定が悪いのかなんなのか…
Chromeとインターネットエクスプローラー11で両方試したのですが、ダメでした
何か解決策はありますでしょうか?