ワードプレスのマルウェア被害でwp-blog-header.phpやwp-cron.php、.htaccessファイルが方々のフォルダに勝手に生成される例をご紹介いたします。
ワードプレスサイトのサーバーのpublic_htmlや/var/wwwフォルダ外に多数のwp-blog-header.phpやwp-cron.php、.htaccessファイルが勝手に生成されている
このような現象が起こった場合、サイトがハッカーに侵入されてマルウェアやバックドアが設置されている可能性が非常に高いと言えます。
wp-blog-header.phpや.htaccessが方々のフォルダに生成される理由は、質の低いマルウェアのプログラムが自動でサーバー内にあるすべてのワードプレスに感染を広げる為であり、ワードプレスがないフォルダにも手当たり次第に自己複製しているからとなります。
wp-blog-header.phpが自動生成される理由
wp-blog-header.phpはワードプレスのページが表示されるたびに、実行されるファイルです。この為、マルウェアの自動復元や、サイトのユーザーを勝手にほかのサイトに移動させてしまうリダイレクトハックの不正なコードを埋め込むにはハッカーにとって都合のいいファイルとなります。
この為、マルウェアに感染したwp-blog-header.phpをハッカーが方々のフォルダに書き込んでいる形になります。不正なコードの埋め込みが駆除された場合別のマルウェアファイル経由で感染を上書きで不正ファイルと自動で置き換えることにより、感染を復活させる目的もあります。
※wp-blog-header.phpだけでなくindex.phpやwp-settings.phpも同様のファイルであるためこれらのファイルが勝手に書き込まれる場合もあります。
.htaccessが自動生成される理由
.htaccessが自動で改ざんされる理由で最も多いのが、ワードプレスの管理画面に管理者がアクセスできなくなるような設定を書き込むためであることが多いです。
その他のファイルがマルウェアファイルが自動でフォルダに書き込まれる理由
その他、wp-cron.phpやwp-cofiq.phpもしくはwp-crom.php等一見ワードプレスのファイル名に見える偽のファイルを方々のフォルダにマルウェアやハッカーが書き込むこともございます。
この理由は、ハッキングを継続するためのバックドアと呼ばれるハッカーのサーバーへの侵入口となっているファイルの設置の為であったり、スパムメールを送信する為のプログラムの設置であることが多いです。
バックドアとしてよく設置されるファイル Tiny File Manager
スパムメーラーとしてよく設置されるファイル GFX Xsender 、 leaf mailer
ワードプレスのウェブ公開領域外に設置されたマルウェアファイルへの対処方法
ワードプレスのウェブ公開領域外にある、PHPファイルやhtaccessファイルは基本的には実行されることがない為、消去することが対処方法となります。
ただ、独自のシステムがサーバー内にある場合、公開領域外のファイルを読み込んで使用するようなシステムの場合もあり、このようなサーバーの場合は慎重に削除していただく必要があるかと存じます。
その他のマルウェアの調査駆除
また、一度サーバー内に改ざんが見つかった場合は、ワードプレスの深い階層にまだマルウェアやバックドアが残っている場合があります。サーバー内のマルウェアを網羅的に検査駆除できるプラグイン等を使用していただくことをお勧めいたします。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
脆弱性をふさぐ
次に最初にハッカーの侵入を許してしまったサイトの脆弱性も塞がないと同じ脆弱性が利用されて再感染することがあります。
このような一連のマルウェア駆除やセキュリティー対策の作業は経験豊かな専門家にご依頼いただけます。お気軽にご依頼・ご相談お送りください。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はWPドクターまでお気軽にお送りください
