ワードプレスに感染したマルウェアの影響でpublic_htmlフォルダが書き込みできず、また、パーミッションが変更できず、マルウェアを駆除できなくなってしまった事例について解説いたします。
クライアント様のマルウェア感染の事例
クライアント様のマルウェア感染の状況は下記のようなものでございました。
・サーバーのpublic_htmlフォルダのワードプレスに多数のマルウェアが設置されている
・public_htmlフォルダのパーミッションは555,500等書き込み不可の権限なのでマルウェアを削除できない
・public_htmlフォルダのパーミッションを書き込み可(755等)にしても一瞬で555,500等書き込み不可の権限に戻ってしまう
なぜpublic_htmlフォルダのパーミッションは555,500等の書き込み不可の権限に一瞬で戻るのか?
この理由は、サーバーのプロセス、もしくはサイトにアクセスがあるたびに、ワードプレスが設置されているpublic_htmlフォルダの書き込み権限を監視して、変更があればすぐに戻す不正なプログラムが常駐してしまっているからでございます。
この常駐プログラムを解除するには、サイトにアクセスがあるたびに実行されるマルウェア本体や、下記のようなプログラムをサーバー上で実行し、プロセスのメモリに常駐している不正なプログラムを停止する必要があります。
shell_exec("ps aux | grep -i php | awk {'print $2'} | xargs kill -9");
※上記プログラムを実行すると、PHPのプロセスを停止されますのでPHPの再起動が必要となったり、LAMP全体の再起動が必要となる場合がございます。自己責任でご利用ください。
ワードプレスに感染しているマルウェア本体は、マルウェア検査プラグインで調査し検出することも可能です。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
もし手におえないと思ったり、再感染が続く場合などは早めに専門家にご相談いただくことをお勧めいたします。
WordPress プロセス常駐型のマルウェア感染の駆除・セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にお送りください
