本番サイトと開発環境のサイトのマルウェア駆除のご依頼の事例をご紹介いたします。
クライアント様のご相談内容
クライアント様のご相談内容は下記のようなものでございました。
お世話になります。******と申します。
弊社で制作(コーディングは外注)で制作したWordPressサイトが改ざんされているようで困っております。
URL直打ちするとTOP表示だけはされるのですが、管理画面もアクセスできず、壊れている状態です。また、Googleの検索結果がおかしくなっておりリダイレクトされてしまいます。
御社の記事↓と同様のようです。
https://wp-doctor.jp/blog/?p=6846
開発環境の方は正常なので、ひとまず開発環境から移植を試みていますが、御社にも後で見て頂きたいです。昨年くらいにも一件、同様のことがあり御社に助けて頂きました。FTPには固定IPが必要ですので、早めに教えて頂けると助かります。
よろしくお願いいたします。
弊社で制作(コーディングは外注)で制作したWordPressサイトが改ざんされているようで困っております。
URL直打ちするとTOP表示だけはされるのですが、管理画面もアクセスできず、壊れている状態です。また、Googleの検索結果がおかしくなっておりリダイレクトされてしまいます。
御社の記事↓と同様のようです。
https://wp-doctor.jp/blog/?p=6846
開発環境の方は正常なので、ひとまず開発環境から移植を試みていますが、御社にも後で見て頂きたいです。昨年くらいにも一件、同様のことがあり御社に助けて頂きました。FTPには固定IPが必要ですので、早めに教えて頂けると助かります。
よろしくお願いいたします。
マルウェア感染で管理画面にアクセス不能に
マルウェアの中には下記のような書き込みをHTACCESSファイルに書き込むものがございます。
<FilesMatch ".(py|exe|php)$"> Order allow,deny Deny from all </FilesMatch> <FilesMatch "^(postfs.php|votes.php|index.php|wjsindex.php|lock666.php|font-editor.php|ms-functions.php|contents.$ Order allow,deny Allow from all </FilesMatch>
このコードは、py、exe、phpという拡張にのファイルへのアクセスを禁止するという意味になります。この為管理画面にログインができなくなったり特定の管理画面の機能が使用できなくなったりします。
またその下に続くpostfs.php|votes.php|index.php|wjsindex.php|lock666.phpの部分はそのファイルへのアクセスだけは許可するという意味になります。
この為、サイトの表示や、マルウェア本体(バックドア)へのアクセスは引き続きできる形となりハッカーがサイトの改ざんを継続できるのです。
マルウェア感染したサイトの対策にはマルウェアをサーバーから除去し切って、脆弱性をつぶすことが重要です
サイトが改ざんされてマルウェア(意図しない不正な動作をするプログラム)に感染してしまった場合は下記の2点の対策が必要となります。
・マルウェアをサーバーから除去し切きり、ハッカーがマルウェア(バックドア)からサイトを再改ざんしたり、サイトが不正な動作を行うのを防止します
参考
ワードプレスのハッカーはどのようにサイトの脆弱性を見つけてサイトを改ざんするのか?有効なセキュリティー対策とは?
・最初にハッカーがサイトに侵入した脆弱性をつぶす
ワードプレスドクターでは経験豊かな専門家が、マルウェア駆除セキュリティー対策を代行し、御社サイトを復旧いたします。お気軽にご依頼・ご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はワードプレスドクターまでお気軽にお送りください
