最近ワードプレスドクターへのご依頼で非常に増えているのがサーバー管理会社からスパムメール配信をしていると警告を受けてサイトを止められてしまう事例です。今回はXserverでサイトを運営されていたクライアント様の事例を一つご紹介いたします。

クライアント様の状況;スパムメール配信のプログラムが消しても消しても復活する

レーシング関連のサイトを運営されていたクライアント様はマルチサイトで、ファンクラブや掲示板なども運営されておりユーザーを多数抱えているサイト様です。サーバー管理会社からサイトの改ざん通知(スパムメール配信)を受けて対策を施されても再感染によってすぐに改ざんが復活し大変困られていました。
ワードプレスドクターでこちらのサイトを復旧させていただき、現在では再感染もなくサイトを運用されています。

状況としては、多数の改ざんファイルがサイトに埋め込まれており、消しても消しても復活し、いたちごっこの状態となっておりサーバー会社に警告を受けては復旧→再感染 というのを繰り返されている状態でした。
この場合、バックドアという改ざんをサイトに施すための裏道のようなものがサイトに仕掛けられており、このプログラムを排除しないと何度でもハッカーが改ざんファイルを送り込んでくることになってしまいます。

改ざんファイルの例

下記のような改ざんファイルが多数サイトに発見されました。
own.php

rpchlhkz.php.orig

wp-config.php (埋め込み型)

改ざんファイルは多くの場合、難読化という処理がされており、人が見てもどのような処理やどのような外部ファイルにアクセスしているかわからないようになっています。発見にはパターンマッチングや、ハッカー特有の特殊なプログラムを洗い出して最終的には目視検査をして削除すると最も精度が上がります。
ワードプレスドクターでは、弊社構築のデータベースからのパターンマッチングでの検出と専門家による目視検査の2重の検出により精度の高い改ざんファイルの排除を行います。

参考記事
[無料]WordPressの改ざん、ハッキング、マルウェア、ウィルスをスキャン(検出) WP malware scanner LITE

バックドアとは?

バックドアとは、改ざんファイルをサイトから取り除かれてしまっても再度ハッカーがそこから侵入して新たな改ざんファイルをサイトに仕掛けるための裏口のことです。多くの場合単純化すると下記のようなプログラムであることが多いです。(難読化処理されていることもあります)

eval($_POST["thecode"]);

このコードは外部から送信した文字列をPHPのコードとして実行できる大変危険なコードです。このようなコードをわかりにくい場所に、ワードプレスの管理権限を奪った後に埋め込み、特殊なソフトウェアを使用して実行したい改ざんコードなどを御社サイトに送信して改ざんファイルを生成しています。

ワードプレスドクターの改ざん排除とセキュリティープログラム

ワードプレスドクターでは年間数百件に及ぶ改ざんサイトの復旧経験があり、改ざんのパターンマッチングデータベースを構築しそのでーたべすから検査を行い改ざんファイルやバックドアを取り除きます。
また、弊社の経験を通して再感染を防ぐためのセキュリティー対策をサイトに導入、ハッカーがサイトのハッキングを断念するために様々な対策を施しています。

私たちの改ざん復旧プログラム

●サイトのオンライン検査と、ブラックリスト検査を行います。
●サイトのフルバックアップをお取りします。
●脆弱性の検査を行います。
●ワードプレスと、プラグインをすべてクリーンインストールします(この際サイトに障害が起こったときも修正します)
●弊社感染パターンデータベースによりマルウェアのパターン検査を行います。
●検出されたパターンを専門技術者が最終目視検査し感染を取り除きます。
●データベースに含まれる改ざんを取り除きます。
●サイトを再度公開し、オンラインウィルス検査しご報告します。ブラックリスト入りしている場合はGoogleに再審査の請求をします。

再感染の予防、アフターサービス

●ワードプレスの管理者権限、他パスワードを再設定します。
●サイトにファイアウォールを導入し、適切な設定を行います。
●ファイルの書き込み権限を強力な物に変更します。
●ログインロックダウン、キャプチャ、ログイン履歴記録などの総当たり攻撃を防ぐ施策を行います。
●再感染を防ぐアドバイスを差し上げます。
●ご依頼いただいたクライアント様に専門ページが生成され、技術者に直接1か月間ご質問等をしていただけます。
●1か月以内に再感染があった場合は無料で復旧し、サポート期間をさらに1か月延長します。

サーバー管理会社から、スパムメール配信やハッキングの通知があったときはワードプレスドクターにご相談ください。

WordPressでスパムメールを配信しているとサーバー会社から警告を受けた時はワードプレスドクターにご相談、ご依頼ください