マルウエアに感染した時の対応と解決方法

マルウエアに感染した時の対応と解決方法

この記事はメールマガジンで配信したものを

転載しています。


 

こんにちは!くみんです。
メールを開いていただきありがとうございます☆彡

 

 

おひさしぶりです!
前回のメールが6月頭だったので
約1カ月半のご無沙汰でした。

 

 

本当は7月に入ったら配信再開!!
・・・の予定だったのですが
とんだハプニングで今日になってしまいました。

 

 

というのも
一番稼いでいたブログがマルウエアにやられてしまって
対応に追われておりました。

 

 

セキュリティを、とか
パスワードを、とか
これまでメールでお伝えしていましたが

 

 

私がサイトを乗っ取られる…
いえ乗っ取られかける状態になるとは…。

 

 

今回ばかりはいい勉強になりました。

 

 

最悪、一から出直す覚悟もしてはいたのですが、
お陰様で、できる限りクリーンな状態で
再出発することができました\(^o^)/

 

 

というわけで、あってはならない事ですが
何かあっても、すぐに対処できるよう

 

 

今日から数回に分けで
マルウエア被害にあった時の対応について
お伝えしていきたいと思います。

 

 

この記事でわかる事

セキュリティが破られた時

どのような状況になるか
またどのように対応したらよいか
…こちらをお届けします。

 

 

ワードプレスを使っていたら
マルウエアの被害は誰にでも起こる可能性
あるんですよね…いやですけど。

 

 

まずサイトを乗っ取られかけた時、
どのような状態になるのか
ここからお話ししていきますね。

 

マルウエアに感染したらどうなるか

あくまでも私の場合ですが

 

 

ワードプレス(WP)のパスワードが破られたあと、
WPの管理画面は表示されるものの
ページを移動しようとすると
「403 Forbidden」エラーが表示されるようになりました。

403forbidden

 

 

早い段階、数時間後には気が付いたので
何か変更が行われていないか、すぐに調査開始!

 

 

確認したのはファイルなどの更新されている日時、
そしてパーミッションが「444」などに変更されているファイルです。

 

※パーミッション「444」は書き換えができない設定

 

 

サーバーではなく「ファイルマネージャー」から
更新されているファイルの日付と記述内容を見ていきました。

 

■■確認したファイル■■

 

----------
about.php
wp-info.php
----------

これらの見慣れないファイルを削除
これ、増殖するんです。

 

 

index.html
.htaccess

 

のパーミッションと記述を確認

 

.htaccessのパーミッションが444になっていて
いくら644に変更してもすぐに444に改変され、
変更できない状態になっていました。

 

 

わたしは.htaccessの記述など詳しいわけではないんですが
ネットで検索して、同じ状況の書き込みを探して
一つ一つ見ていきました。

 

 

indexファイルは、通常の記述内容の上部に
長々とヘンな暗号のような文字が書き加えられていたし、

 

マルウエア1

 

.htaccessファイルも、上部に書き加えられた記述がありました。

 

マルウエア2

 

 

状況を確認したのち、契約しているサーバー会社に連絡。

 

 

▼現在のサイトの詳しい状況
▼問題がない状態を最後に確認した日時
▼問題発生日時
▼対象となるURLやドメイン等の情報

 

 

これらの状況報告と、助けていただけませんか
という旨をメールしました。

 

 

使用しているエックスサーバーのサポートからは
すぐに連絡が入りましたよ!(以下メール文抜粋)

 

--------------------------------------------------

お問い合わせをいただきまして、ありがとうございます。

当サポートにてサーバー内に不正ファイルの設置や、
不正アクセスの形跡がないかどうかお調べする事が出来ます。

その際にはサーバー内に設置されている各種ファイルに対して
精査する必要がございますので、対応を行っても問題がないか
許可をくださいますようお願いします。

※なお該当があり緊急性を要する場合は【サーバーが凍結】されるなど
事前通知なく実施されるケースがございます。
その場合は、制限実施後にその旨のご案内をいたします。

----エックスサーバー返信メールの一部抜粋---

 

レスポンスは意外と早くて
とても誠実な印象を受けました。

 

 

マルウエアの感染の影響

サーバー会社に不正アクセス調査を行っていただき
設置されていた不正プログラムファイルを停止
指示されたファイルを一つ一つ削除していきました。

 

 

ココなんですけど、
不正プログラムを検出してはくれるんですが
ファイルの削除はこちらで対処しないといけないんですよね。

 

 

また不審なアクセスログの一部を開示してもらい
「WordPressへの不正ログインに起因する改ざん」
という調査結果をいただきました。

 

 

不正アクセスの根本原因の多くはパスワードの流出、
WordPressの脆弱性をついたものが多いようです。

 

 

今回のケースでは不審なFTPアクセスが見られない
ということで消去法的な対応となりました。
⇒不正なファイルを削除する形

 

 

それでも
----------
about.php
wp-info.php
----------

 

のファイルは削除しても削除しても自動生成され

エックスサーバーさんには丁寧に対応していただいたのですが

サイトの表示は復旧しないまま3日が過ぎてしまいます。

 

 

サーバーの大々的な引っ越しを決意!

サーバー会社から提案があったわけでもないのですが
このままでは復旧は見込めないと考え
新たにサーバーをもう一つレンタルし
全てのサイトを引っ越すことにしました。

 

 

WPだけでも無駄に多くて10サイト以上、
他にもシリウスなどで作ったサイトもあり
まずは引っ越しの準備と手順を決めることからスタート。

 

 

WPの引っ越しには
色んなプラグインがあるのも知っていますが
管理画面が動かない状態では使えません。

 

 

いろいろ調べてわかったことは
3つの情報さえ携えていれば
簡単にWPサイトの再生はできるという事。

 

 

ホントにシンプルでした。

 

 

その3つの情報とは

=========
・mysql(データベース)
・uploadsフォルダ(WordPress/wp-content/uplodas)
・config.php
=========

 

uploadsフォルダ」というのは画像が保存してあるフォルダで

WordPressのwp-contenの中にあります

 

画像ファイル1

 

 

「config.php」はファイル内の情報のみを使用。
(configを見れば、どのmysqlと紐づけられているかが分かります)

 

 

※configはPHPファイルなので、内容を見る場合は
「Tera-pad(メモ帳)」を開いてドラッグすれば表示できます。

 

 

これにデータベースが加われば
保存された時点でのサイト復旧が可能です。

 

 

もう少し補足するとすれば
使用していた「テーマ」とワードプレスも必要。
でもそれさえあれば限りなくクリーンな状態で再出発できます。

 

 

ここで注意したいのが
いわゆる「バックアップデータ」を使わないところ。
プラグインは汚染されている可能性があるので
新しくインストールした方がいいです。

 

 

「uploadsフォルダ」「mysql」「config.php」
この3つのバックアップを持って
新しいワードプレスに移動すればいいだけ。

 

 

引っ越しの手順をここで覚える必要はないけれど
なんとなーく知っておいて

 

 

上記3つの情報さえあれば再生できる!
という事だけ分かっていれば大丈夫です。

 

 

引っ越しの手順

新サーバーにドメインを移し、SSL化

SSL設定

データベースmysqlユーザーを追加

MYsql設定1

mysqlユーザーの追加


mysqlを追加

Mysqlの追加


mysqlユーザーとmysqlを紐づけます

Mysql一覧


・「phpmyadmin」でmysqlのバックアップをインストール

phpmyadmin


WPを手動でインストール

「uploads」をWordPress/wp-contenにアップロード

WP管理画面に入る時点でデータベース情報を入力

-----------------
・データベース名
・MySQL データベースのユーザー名
・MySQL データベースのパスワード
・MySQL のホスト名
-----------------

・ログイン後、「テーマ」をインストール有効化

プラグインをインスト―ル有効化&設定

 

今回はワードプレスだけで10個ほどあったので
各サイト毎にフォルダを作って引っ越しの準備を行いました。

 

 

引っ越し後は「強いパスワード」を再設定
セキュリティプラグインをインストール

 

 

という感じです。

 

 

ワードプレスの引越しは簡単

 

WPの引越しって、
何だかむつかしく書いているサイトも多くて
面倒だなぁと思っていたけれど

 

 

何を動かせば良いのかさえ分かっていたら
とても簡単なんだということが分かりました。

 

=========
・mysql(データベース)
・uploadsフォルダ(WordPress/wp-content/uplodas)
・config.php
=========

 

 

これに「テーマ」を加えれば
ワードプレスは再生できます。

 

 

流石に10個も引っ越したら
詳しくなりますよね!!

 

 

もしも何かあったら力になれるかも!
いつでも声をかけてくださいね!

 

 

というわけで次回は
さらにその後のセキュリティや
サイトの確認などについて、お話ししていきたいと思います。

 

 

もし宜しければ、

 

ブログから、【人気ブログランキング】の応援クリックお願いします。

 

ブログランキングバナー

 

みなさまのおかげで
上位をキープする事ができております!

 

いつもありがとうございます。

 




当ブログでは、ブログアフィリエイトで毎月10万円以上、安定して稼いでいる仕組み、具体的な方法をメールマガジンで発信しています。

興味を持たれた方は、是非メルマガ登録もよろしくお願いします(^o^)/
お申込みはこちらから(ハンドルネームでもOKです!
  ↓

以下にメールアドレスを入力しお申し込みください

お名前(必須)  
メールアドレス(必須)

※プロバイダーアドレスでは、メールが受け取れない場合がございますので、
Hotmail以外のYahoo、Gmailなどのフリーメールアドレスでの登録をお薦めいたします。

おすすめ教材

エクアドPRIDE2

このブログを書いてる人
       
           くみん

はじめまして!
ご訪問、ありがとうございます。管理人の「くみん」と申します。

このサイトでは、収入を得ようとブログを始めたものの、思うようにアクセスが伸びない、わずかな報酬しか稼げない…

なんとか月10万は稼ぎたい!

という方に向けて、私がブログアフィリエイトで毎月10万円以上、安定して稼いでいる仕組み、具体的な方法を発信しています。

充実した内容のメールマガジンも発行しているので、メルマガ登録もよろしくお願いします(^o^)/
プロフィールの詳細

カテゴリ
応援してくれると喜びます☆彡

【人気ブログランキング】参加中☆彡
↓    ↓    ↓    ↓


Google AdSenseランキング

にほんブログ村 小遣いブログ Googleアドセンス・アドセンス申請へ

よく読まれている記事