昨今のマルウェアは、無限ループ(もしくは遅延処理)をサーバーのプロセスに書き込んで常駐するタイプのものがあります。
プロセス常駐型マルウェア
プロセス常駐型のマルウェアは、サーバーのプロセスに無限ループや時間差をつけて実行する遅延処理のプログラムを常駐させ、マルウェアが駆除されても、そのプロセスからバックドア(ハッカーのハッキングの入り口)などを復元(再感染)してしまうものです。
多くのサーバーではこのようなプロセスを観察したり、停止する仕組みが用意されていませんのでこのようなマルウェアを駆除するのが困難となり、消しても消してもマルウェア復活してしまうという状況になってしまうことがございます。
プロセス常駐型マルウェアを駆除するには?
Sakuraインターネットサーバーには、プロセスを表示停止する機能があります。この機能はサーバーパネルのサーバーステータス、動作中のプロセスからアクセスできます。
ただ、ここにマルウェアのプロセスが現れない場合もございます。
プログラム経由でサーバーでプロセス常駐型のマルウェアを停止する
プロセス常駐型のマルウェアの活動を止めるには、一旦PHP自体の実行を止める必要があります。
この命令をPHPプログラムを設置してブラウザーでアクセスして実行することでマルウェアのプロセスも停止させることが可能です。
下記のコードを拡張子.phpでテキストファイルで保存し、サーバーにFTPソフトウェアでアップロードしてブラウザーでそのURLにアクセスするとPHPの全プロセスを停止します。
<?php
shell_exec("ps aux | grep -i php | awk {'print $2'} | xargs kill -9");
?>
※当社でいくつかの著名サーバーで動作することを確認しておりますが、このコードが効かないことがあったり、サーバーに何らかの不具合を引き起こす可能性があります。当社はその際の責任は負いかねますのでご了承ください。
プロセスを停止出来たらindex.php、wp-config.phpを復元する
上記の方法でマルウェアのプロセスを停止出来たら、すぐにプロセス常駐型のマルウェアを起動しているマルウェアの本体を駆除する必要がございます。
このマルウェアは一般的にはindex.phpやwp-config.phpに含まれています。このファイルに本体が含まれている理由は、ユーザーがサイトにアクセスする度に実行するファイルであるため、勝手にマルウェアを再起動してくれるからでございます。
ワードプレスにログインし、そのほかのマルウェアも検査駆除する
プロセス常駐型のマルウェアの本体の駆除に成功したら、htaccessファイルに不正なコードが書き込まれていないかを調査の上、駆除します。
このタイプのマルウェアでは多くの場合、特定のファイルにしかアクセスできないような処理がHTACCESSファイルにも書き込まれており、ワードプレスの管理画面の利用を阻害しています。
ワードプレスの管理画面にログインイン出来たら、サイト全体のマルウェア検査と駆除を行います。
当社開発のプラグインをご利用いただくことでサイトの全ファイルのマルウェア検査駆除が可能です。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
このような手順を踏んでも、駆除が困難だったり、再感染が繰り返される場合は専門家にご相談いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策を経験豊かな専門家が代行いたします。お気軽にご相談お送りください
