マルウエア感染の対応と解決方法

この記事はメールマガジンで配信したものを

転載しています。

こんにちは！くみんです。
メールを開いていただきありがとうございます☆彡

おひさしぶりです！
前回のメールが6月頭だったので
約1カ月半のご無沙汰でした。

本当は7月に入ったら配信再開！！
・・・の予定だったのですが
とんだハプニングで今日になってしまいました。

というのも
一番稼いでいたブログがマルウエアにやられてしまって
対応に追われておりました。

セキュリティを、とか
パスワードを、とか
これまでメールでお伝えしていましたが

私がサイトを乗っ取られる…
いえ乗っ取られかける状態になるとは…。

今回ばかりはいい勉強になりました。

最悪、一から出直す覚悟もしてはいたのですが、
お陰様で、できる限りクリーンな状態で
再出発することができました＼(^o^)／

というわけで、あってはならない事ですが
何かあっても、すぐに対処できるよう

今日から数回に分けで
マルウエア被害にあった時の対応について
お伝えしていきたいと思います。

ワードプレスを使っていたら
マルウエアの被害は誰にでも起こる可能性
あるんですよね…いやですけど。

まずサイトを乗っ取られかけた時、
どのような状態になるのか
ここからお話ししていきますね。

マルウエアに感染したらどうなるか

あくまでも私の場合ですが

ワードプレス（ＷＰ）のパスワードが破られたあと、
ＷＰの管理画面は表示されるものの
ページを移動しようとすると
「403 Forbidden」エラーが表示されるようになりました。

早い段階、数時間後には気が付いたので
何か変更が行われていないか、すぐに調査開始！

確認したのはファイルなどの更新されている日時、
そしてパーミッションが「444」などに変更されているファイルです。

※パーミッション「444」は書き換えができない設定

サーバーではなく「ファイルマネージャー」から
更新されているファイルの日付と記述内容を見ていきました。

わたしは.htaccessの記述など詳しいわけではないんですが
ネットで検索して、同じ状況の書き込みを探して
一つ一つ見ていきました。

indexファイルは、通常の記述内容の上部に
長々とヘンな暗号のような文字が書き加えられていたし、

.htaccessファイルも、上部に書き加えられた記述がありました。

状況を確認したのち、契約しているサーバー会社に連絡。

▼現在のサイトの詳しい状況
▼問題がない状態を最後に確認した日時
▼問題発生日時
▼対象となるURLやドメイン等の情報

これらの状況報告と、助けていただけませんか
という旨をメールしました。

使用しているエックスサーバーのサポートからは
すぐに連絡が入りましたよ！（以下メール文抜粋）

レスポンスは意外と早くて
とても誠実な印象を受けました。

マルウエアの感染の影響

サーバー会社に不正アクセス調査を行っていただき
設置されていた不正プログラムファイルを停止
指示されたファイルを一つ一つ削除していきました。

ココなんですけど、
不正プログラムを検出してはくれるんですが
ファイルの削除はこちらで対処しないといけないんですよね。

また不審なアクセスログの一部を開示してもらい
「WordPressへの不正ログインに起因する改ざん」
という調査結果をいただきました。

不正アクセスの根本原因の多くはパスワードの流出、
WordPressの脆弱性をついたものが多いようです。

今回のケースでは不審なFTPアクセスが見られない
ということで消去法的な対応となりました。
⇒不正なファイルを削除する形

それでも
----------
about.php
wp-info.php
----------

のファイルは削除しても削除しても自動生成され

エックスサーバーさんには丁寧に対応していただいたのですが

サイトの表示は復旧しないまま3日が過ぎてしまいます。

サーバーの大々的な引っ越しを決意！

サーバー会社から提案があったわけでもないのですが
このままでは復旧は見込めないと考え
新たにサーバーをもう一つレンタルし
全てのサイトを引っ越すことにしました。

ＷＰだけでも無駄に多くて10サイト以上、
他にもシリウスなどで作ったサイトもあり
まずは引っ越しの準備と手順を決めることからスタート。

ＷＰの引っ越しには
色んなプラグインがあるのも知っていますが
管理画面が動かない状態では使えません。

いろいろ調べてわかったことは
3つの情報さえ携えていれば
簡単にＷＰサイトの再生はできるという事。

ホントにシンプルでした。

その3つの情報とは

＝＝＝＝＝＝＝＝＝
・mysql（データベース）
・uploadsフォルダ（WordPress/wp-content/uplodas）
・config.php
＝＝＝＝＝＝＝＝＝

「uploadsフォルダ」というのは画像が保存してあるフォルダで

WordPressのwp-contenの中にあります。

「config.php」はファイル内の情報のみを使用。
（configを見れば、どのmysqlと紐づけられているかが分かります）

※configはPHPファイルなので、内容を見る場合は
「Tera-pad(メモ帳)」を開いてドラッグすれば表示できます。

これにデータベースが加われば
保存された時点でのサイト復旧が可能です。

もう少し補足するとすれば
使用していた「テーマ」とワードプレスも必要。
でもそれさえあれば限りなくクリーンな状態で再出発できます。

ここで注意したいのが
いわゆる「バックアップデータ」を使わないところ。
プラグインは汚染されている可能性があるので
新しくインストールした方がいいです。

「uploadsフォルダ」「mysql」「config.php」
この3つのバックアップを持って
新しいワードプレスに移動すればいいだけ。

引っ越しの手順をここで覚える必要はないけれど
なんとなーく知っておいて

上記3つの情報さえあれば再生できる！
という事だけ分かっていれば大丈夫です。

今回はワードプレスだけで10個ほどあったので
各サイト毎にフォルダを作って引っ越しの準備を行いました。

引っ越し後は「強いパスワード」を再設定
セキュリティプラグインをインストール

という感じです。

ワードプレスの引越しは簡単

ＷＰの引越しって、
何だかむつかしく書いているサイトも多くて
面倒だなぁと思っていたけれど

何を動かせば良いのかさえ分かっていたら
とても簡単なんだということが分かりました。

＝＝＝＝＝＝＝＝＝
・mysql（データベース）
・uploadsフォルダ（WordPress/wp-content/uplodas）
・config.php
＝＝＝＝＝＝＝＝＝

これに「テーマ」を加えれば
ワードプレスは再生できます。

流石に10個も引っ越したら
詳しくなりますよね！！

もしも何かあったら力になれるかも！
いつでも声をかけてくださいね！

というわけで次回は
さらにその後のセキュリティや
サイトの確認などについて、お話ししていきたいと思います。

もし宜しければ、

ブログから、【人気ブログランキング】の応援クリックお願いします。

みなさまのおかげで
上位をキープする事ができております！

いつもありがとうございます。