クライアント様は同じサーバーにある3サイトでマルウェアの再感染が繰り返され、サイトをバックアップから復元したり初期化しても何度も再感染するという事で当社で抜本的なマルウェア駆除作業を代行させいていただきました。
クライアント様のご相談内容
1か月くらい前にサイトが表示されない(変なページにとばされる)ことに気づき、.htaccess、index.phpの内容が勝手に書き換わっていることが分かりました。
初期ドメイン含め、一度全て初期化しワードプレス自体も作り直したんですがまた同じような症状が出ています。
ファイルマネージャを確認したところ、覚えのないphpファイルがあって、削除してもすぐに復活してしまいます。
「eval」と記載があるのでマルウェアかなと思いこれの除去、サイトの復旧をお願いできないかと思いご連絡いたしました。
ちなみに
https://*****.com/
https://*****.com/
上記2つのサイトと初期ドメインの方にも「eval」と記載のあるファイルがあります…。
.htaccess、index.phpの内容が勝手に書き換わっていたり、その結果管理画面の特定の機能にアクセスできなくなるのは典型的なマルウェア感染の症状です。
また、eval関数は、テキストをプログラムとして実行するための関数ですので、難読化されたマルウェアの不正なコードを実行するためにマルウェアで非常によく使われます。
なぜワードプレスサイトを初期化してもマルウェアが復活する?
この理由は、ある種のマルウェアはプログラムファイルとして存在しておらず、サーバーのプロセス(メモリ)上で実行され続けているからとなります。
このタイプのマルウェアは、マルウェアを駆除してもすぐに.htaccess、index.phpの内容を書き換えることが多いです。
書き換えられたindex.phpには再度プロセスにマルウェアを展開するものもあり、この為サイトにアクセスするたびにプロセスのマルウェアも復活することになります。
メモリに展開するマルウェアを駆除する
メモリに展開するマルウェアを駆除(停止)するにはサーバーのPHPを再起動したり、特殊なコマンドを実行する必要があります。
コマンドの例 ※こちらのコマンドをサーバー上で実行する場合は自己責任となります。サーバー上のファイルや設定等のバックアップを事前に行われることをお勧めいたします。
ps aux | grep -i php | awk {'print $2'} | xargs kill -9
また、当社で発見したマルウェアの一部は、別のドメインのフォルダ(例えばサーバーの初期ドメインフォルダ)でプロセスを実行しており、他のフォルダにもマルウェアをまき散らすものもございました。
この為、サーバー上の全ドメインフォルダで上記プロセスを消す必要がある場合もあります。
WPドクターでは、専門知識を持つ技術者が、このようなプロセスに展開してしまったマルウェアも含めて、マルウェアを確実に除去し、再感染しないようにセキュリティー対策を行います。
お気軽にご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
