最近非常にご相談が増えている「一瞬で再度改ざん(書き換わる)される.htaccessとindex.php」タイプのマルウェアを駆除代行させていただきました事例をご紹介いたします。


クライアント様のご相談内容

サイトがマルウェア攻撃を受けて、見覚えない外国のサイトが大量に作られました。
一度プラグインを使って、サイトを一時停止しマルウェアを全て削除しましが、一瞬でindex.phpや.htaccessが戻りました。
また、.htaccess のパーミッションも444に勝手にされてしまい、プラグインの設定もできません。
こちらマルウェア・ウィルス駆除、改ざん被害からの復旧、再攻撃されないように仕組みを導入していただきたいと思います。
よろしくお願いします。
改ざんされるコード:
<FilesMatch ‘.(php|php5|phtml)$’>
Order allow,deny
Deny from all
</FilesMatch>
<FilesMatch ‘^(index.php|auto_seo.php|wp-blog-header.php|wp-config-sample.php|wp-links-opml.php|wp-login.php|wp-settings.php|wp-trackback.php|wp-activate.php|wp-comments-post.php|wp-cron.php|wp-load.php|wp-mail.php|wp-signup.php|xmlrpc.php|edit-form-advanced.php|link-parse-opml.php|ms-sites.php|options-writing.php|themes.php|admin-ajax.php|edit-form-comment.php|link.php|ms-themes.php|plugin-editor.php|admin-footer.php|edit-link-form.php|load-scripts.php|ms-upgrade-network.php|admin-functions.php|edit.php|load-styles.php|ms-users.php|plugins.php|admin-header.php|edit-tag-form.php|media-new.php|my-sites.php|post-new.php|admin.php|edit-tags.php|media.php|nav-menus.php|post.php|admin-post.php|export.php|media-upload.php|network.php|press-this.php|upload.php|async-upload.php|menu-header.php|options-discussion.php|privacy.php|user-edit.php|menu.php|options-general.php|profile.php|user-new.php|moderation.php|options-head.php|revision.php|users.php|custom-background.php|ms-admin.php|options-media.php|setup-config.php|widgets.php|custom-header.php|ms-delete-site.php|options-permalink.php|term.php|customize.php|link-add.php|ms-edit.php|options.php|edit-comments.php|link-manager.php|ms-options.php|options-reading.php|system_log.php)$’>
Order allow,deny
Allow from all
</FilesMatch>
RewriteEngine On
RewriteRule ^.*-(d+).html$ woocommercel/index.php?id=$1&%{QUERY_STRING} [L]
RewriteRule ^(.*)/item.html$ woocommercel/index.php?cat=$1&%{QUERY_STRING} [L]
RewriteRule ^.*(site[a-z]+promap.xml)$ pro_map/$1 [L]
RewriteRule ^.*(sitemap.xml)$ pro_map/$1 [L]

どんなマルウェアでどうやって一瞬で改ざんしている?

このタイプのマルウェアは、index.php、.htaccess以外のすべてのファイルを削除しても、改ざんを取り除いても自己復元的に、一瞬で復活するという駆除が大変難しいタイプのマルウェアです。
※index.php、.htaccessに加えimageというフォルダ内に、jpgに偽装したマルウェア本体がある場合もあります。

多くの場合、サイトにアクセスしてきたユーザーに違う不正なページを見せたり、不正なリダイレクトをしたり、検索結果に運営者の意図しない不正なページを登録したりします。

ハッカーはどうやってこのような仕組みを作ったのかと申しますと、上記index.phpに無限ループが仕込まれており、ファイルの内容が変更されると、その変更を検知し、ファイルを再改ざんしてパーミッションを書き込み不可にするという一連の作業が、繰り返される処理が入っており、この処理がファイルを削除してもサーバー上のメモリ上に残り続けて実行され続けるような仕組みになっています。

この場合、PHPの実行を一旦停止すればメモリがクリアされ無限ループを止めることが可能ですが、それができないサーバーも多く、駆除が大変困難となります。

ワードプレスドクターでこのタイプのマルウェアもサーバー上から駆除できます

ワードプレスドクターでは、このタイプのマルウェアを研究の上、上記の無限ループの隙をついてindex.phpや.htaccessを正常化する特殊なツールを開発しました。このツールを用いて駆除いたしますことが可能です。

また、マルウェア駆除代行をご依頼いただくと、そのほかのサーバー上のバックドア等の不正なファイルも、高度なマルウェア検査技術を使い、調査の上、経験豊かなスタッフが駆除の上サイトをクリーンアップいたします。

WordPress 一瞬で書き換わる.htaccessとindex.phpタイプのマルウェア駆除のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください

関連記事:

  1. ワードプレスドクター 依頼事例:定期的に.htaccessとindex.phpが書き換えられてしまうマルウェアの駆除
    昨今流行しているマルウェアに.htaccessとindex.phpを自動で書き換えてしまうタイプのものがございます。こちらの駆除のご依頼事例をご紹介いたします。...
  2. ワードプレスでHTACCESSの書き込みだけでできるセキュリティー対策5選
    HTACCESSに設定を記載するだけでできるセキュリティー対策をいくつかご紹介いたします。...
  3. マルウェア(ウィルス感染・改ざん)により管理画面にログインできなくなる事例
    ハッキングによって、サイトに不正なHTACCESSファイルが多数埋め込まれて、管理画面にログインできなくなる事例が増えています。今回はこちらの事例について解説いたします。...
  4. ワードプレス HTACCESSが改ざんされ管理画面へのアクセスが不可能になる
    ワードプレスサイトが改ざんされ、サイトの表示は問題なく可能ですが、管理画面にアクセスできなくなるタイプのマルウェアが昨今はやっています。 この事例について、対処方法等を解説いたします。...
  5. ワードプレスドクター 依頼事例:ワードプレスのマルウェア駆除とアップデート
    マルチサイトになっている2ワードプレスサイトがマルウェア感染し、その駆除とセキュリティー対策、またワードプレスを3.7から4.9までアップデートしてほしいというご依頼の事例をご紹介いたします。...
  6. ワードプレス改ざんの復旧:5000件以上のハッキングされたワードプレスサイトのリストを発見
    ワードプレスドクターのセキュリティー対策室にて、お客様のハッキング被害を修復する過程で、弊社では5000件以上のハッキングされたワードプレスサイトのURLを発見いたしました。この度はこの依頼事例からハッキングされたサイトリストを取得するに至った、顛末をご報告したく思います。 同一の手法による改ざん被害で、一度に発見されたワードプレスサイトの被害規模としては世界最大クラスかと存じますので公益性が高いかと考えまして事例を記載いたします。...