Xサーバーでマルウェアをパーミッションを「000」へ変更され、サイトが表示されなくなってしまった場合の対処方法をご紹介いたします。

Xserver管理会社がサーバー上のマルウェアを機能停止

Xserverの運営会社様が御社サイトのサーバー上にマルウェアを発見すると強制的にそのファイルのパーミッションを000にして下記のようなメールで通知してくることがございます。

お客様のサーバーアカウントにおいて、
サーバーに対する負荷が著しく高い状況を確認いたしました。

この度の負荷上昇に際してプロセスの稼働状況を確認しましたところ、
以下の不正なプロセスが多数稼働しておりました。

▼稼働していた不正なプロセス
——————————————————-
/opt/php-7.4.33-2/bin/php /home/*****public html/l.php
——————————————————-

これを受け、当サポートにてセキュリティ調査を行いましたところ、
お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、
当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。

そのため、事後のご案内となり大変恐縮でございますが、
緊急措置として下記制限を実施しております。

・設置されていた不正プログラムファイルについて、
パーミッションを「000」へ変更し、機能を無効化

[不正プログラムと思われるファイル一覧]
※多数のため、添付ファイル [ *****.txt ] にて提示いたします。
————————————————————

この度のような不正アクセスの被害に遭われた場合、
検出された不正なファイル以外にも、他の不正なファイルや
バックドア(不正アクセスを容易とする仕組み)などが
設置されている可能性が考えられます。
不正アクセスによる被害の発生を防ぐため、下記内容をご確認いただき、
ご対応下さいますよう、よろしくお願いいたします。

■目次■
————————————————————-
【1】サポートにて実施したセキュリティ調査について
【2】お客様に行っていただきたい対応内容について
【3】推奨される設定について
【4】自動バックアップ機能について
————————————————————-
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【1】サポートにて実施したセキュリティ調査について
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のサーバーアカウントにおいて
前述の不正なファイル(ウイルス、マルウェアなど)が検出されるとともに、
日本国外からの不審なアクセスを確認いたしました。

この処置によって、マルウェアに感染しているワードプレスの正規ファイルがパーミッション000(アクセスができない権限)にされてしまい、サイトの表示ができなくなってしまう事もございます。

パーミッション000にされた場合の対処方法

サーバー管理会社様がこのような処置をとった場合は、そのファイルのパーミッションを000以外のものに戻してはいけません。

なぜなら、そのファイルに含まれているマルウェアが再度活性化し、ハッカーがそれを利用してサーバー全体にマルウェアが広がってしまう可能性があるからです。
また、サーバー上のパーミッション000にされたファイルを消す場合も注意が必要です。
なぜなら、そのファイルがワードプレスサイトで利用される重要なプログラムである場合があり、マルウェアがその重要なファイルに寄生している形になっている場合があるからです。

この為、サーバー管理会社がパーミッション000にしたファイルは下記のような対処方法をとる必要がございます。

・ワードプレスやテーマ、プラグインに元々含まれていないファイルの場合は削除
・ワードプレスに元々含まれているファイルにマルウェアが寄生している場合はそのマルウェアの部分だけを取り除き、パーミッションを755等に戻す

パーミッション000のマルウェアファイルをすべて駆除してもマルウェアが残っている可能性がございます

また、サーバー管理会社様の検出するマルウェアはあまり精度が高いとは言えず、サーバー管理会社が指摘したマルウェアを全部駆除したとしてもマルウェアが残ってしまう事が多々ございます。

ワードプレスの管理画面にログインできるのであれば、マルウェア検査・駆除プラグインでサイトを今一度スキャンしていただくことをお勧めいたします。

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

こういった作業はワードプレスの構造や、マルウェアの駆除の経験がないと難易度が高く、誤って必要なファイルを削除してしまう事によりサイトの表示の復元が困難になる場合があります。

もしサーバー管理会社が、サイトのマルウェアを検出し、多くのファイルをパーミッション000にされてしまった場合は早めに専門家にご相談いただくことをお勧めいたします。

WordPress ワードプレスサイトのマルウェア駆除のご依頼・ご相談はお気軽にワードプレスドクターまでお送りください

関連記事:

  1. ワードプレスがハッキング・改ざん・乗っ取りされた際にユーザー向けに行うべきこと
    ワードプレスが改ざんされて、別のサイトにリダイレクトされる、懸賞サイトに飛ばされる、不正なファイルのダウンロードをされる等、サイトに訪ねてくれたユーザーに被害が及ぶ可能性がある場合にユーザー向け(サイトを利用してくれる方)にどのように対応したらよいかを解説いたします。...
  2. ワードプレスのマルウェア、Googleの偽のログイン画面を表示するheck.php
    昨今非常に多くのウェブサイトの改ざんで、Googleの偽のログイン画面を表示するタイプのものが増えていますのでこちらについてその事例と解説を行います。...
  3. ワードプレスのマルウェア ランダムな半角英数のフォルダに大量のHTMLファイルの不正なホスト
    ワードプレスがハッキングされ、ランダムな半角英数のフォルダに、大量の不正なファイルが勝手にホストされるという事例が増えていますのでこのタイプの改ざんにつきまして解説いたします。...
  4. ワードプレスの改ざんでHTACCESSの書き換えや削除ができなくなった時の対処方法
    ワードプレスのマルウェア感染(改ざん)によってHTACCESSの書き換えや削除できなくなった時の対処方法をご紹介いたします。...
  5. ワードプレスがハッキングされた(改ざんマルウェア感染した)時の10の症状
    ワードプレスがハッキングされた(改ざんマルウェア感染した)時のよくある10の症状について解説いたします。...