Xserverにファイルの実行を停止すると警告されてしまい、一部ファイルが停止されたマルウェア感染サイトの駆除復旧
クライアント様のご相談内容
クライアント様のご相談内容は下記のようなものでございました。
❶レンタルサーバー会社(エックスサーバー)から以下のような連絡を受けました。
ーーーーーーーーーーーーーーーーーーー
■重要■お客様のサーバーアカウントにおける不正なアクセスの検知および制限の実施について
お客様のサーバーアカウントにおいて、サーバーに対する負荷が著しく高い状況を確認いたしました。
この度の負荷上昇に際してプロセスの稼働状況を確認しましたところ、以下の不正なプロセスが多数稼働しておりました。
▼稼働していた不正なプロセス
——————————————————-
/******/public html/style2.php
——————————————————-
〜〜
お客様のサーバーアカウントにおいて不正なファイル(ウイルス、マルウェアなど)が検出されるとともに、日本国外からの不審なアクセスを確認いたしました。
ーーーーーーーーーーーーーーーーーーー
原因はおそらく、*****.comのサイトでWorPressプラグインを1年以上更新しておらず、脆弱性をつかれたものと思っています。
(該当ドメインは削除済み)
❷サーバー会社の案内に沿って、*****.comのドメイン初期化を行いましたが、初期化後もsmall.phpが各所に散りばめられていたため、FTPソフトで削除しました。
❸ドメイン初期化後も、https://*****.comのxmlサイトマップ(https://*****.com/sitemap.xml)を見ると大量に見覚えのないページがあります。また、「*****」と検索すると全く関係のない商品販売ページのタイトルおよびメタディスクリプションがヒットし、リンクはhttps://*****.comとなっています。
❹御社のプラグインでスキャンを行なったところ、index.phpファイルがマルウェアと診断されたので、FTPソフトで削除しました。
→現象は改善せず、今回ご相談させていただきました。
ご確認のほどよろしくお願いいたします。
何故高負荷でXserverから警告を受けた?
style2.phpやsmall.php は典型的なマルウェアファイルの名称で、ワードプレスには含まれないファイルです。
参考
ワードプレスサーバーの様々なところに増殖するsmall.phpマルウェア
マルウェアのファイルは品質が低い場合があったり、自己修復の為に非常に高負荷な、無限ループ処理を実行したり、プロセスにそのような処理を書き込んだりします。
この為、サーバー会社様がそれを検出して、ファイルの実行を停止する(パーミッションを000)にしてしまう形になります。
マルウェアによる高負荷の場合マルウェア駆除とセキュリティー対策が必要です
マルウェアに感染してしまい、サイトが高負荷になってしまった場合は、マルウェアの駆除とセキュリティー対策を行う必要がございます。
ワードプレスドクターでは年間数百件に及ぶ、マルウェア駆除を代行しており、その経験を生かしたマルウェア検出駆除プラグインリリースしています。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
またプラグインで駆除しきれないマルウェアも弊社によるマルウェア駆除代行で、より高精度なマルウェア検出パターンでの検査、専門家によるマルウェア目視検査等を行い、より確実に除去いたします。
その他の高負荷対策
Xserverで高負荷の警告を受ける事例は、マルウェアだけに限りません。マルウェアに感染していなくても、プログラムが高負荷の処理をしていたり、データベースの読み取り処理が重すぎて、データベース接続制限を受けることもございます。
このような場合でもワードプレスサイトであれば、経験豊かな専門家がご解決いたします。
お気軽にご相談お送りください。
WordPress
ワードプレスのマルウェア駆除・高負荷対策のご依頼ご相談はワードプレスドクターまでお気軽にお送りください
