マルウェア感染でサイトのトップページや下層ページ全てにアクセスできなくなってしまったサイトのマルウェア駆除・セキュリティー対策と復旧のご依頼事例をご紹介いたします。
この記事の目次
クライアント様のご相談内容
クライアント様のご相談は下記のような内容でございました。
サーバーには公開中のサイトが3つあり、1つはWPではないため影響はありませんが、以下の2サイトがスパムサイト扱いされています。
Aサイト: *****.com
Bサイト: *****.com
気づいたきっかけ:
Bサイトが数ヶ月前に完成し、Aサイトは現在開発中でテーマのfunctions.phpに複数のオリジナルコードを差し込んでいます。Bサイトを更新しようとサイトに移動したとき、下層ページにアクセスしようとしたら500エラーがおこり、発覚しました。
原因特定作業をしているときに、 Aサイトの開発者からサイトに一切アクセス出来なくなったと報告をうけました。トップページも表示されない、ログインページにもアクセス出来ない状態でした。
やったこと:
FTPで確認したところ不審なプラグインファイルがAサイトにあり、AサイトとBサイト両方にpublic_html直下に不審なフォルダが埋め込まれていました。htaccessも編集されており、見覚えのないphpファイルもありました。
*月*日にテーマのオリジナルコードはコメントアウト状態にしました。また、勝手にアップロードされたファイルを全て消してみたところ、一時的にサイトが表示されるようになり復旧かと思ったのですが、一昨日サイトにアクセスしようとしたときにAサイトとBサイトにスパムサイトの警告が出るようになりました。
FTPでディレクトリの確認をしたところサーバー全体が再び汚染されていたのですが、Aサイトのプラグインフォルダに入っていたフォルダに前回気がつかなかったため、これが原因かと思い再び追加されたファイルを全て削除したのですが、スパム判定のまま復旧できていない状態です。
お力をお貸しいただけたらと思います。
よろしくお願いいたします。
マルウェア感染でログインできなくなったり、サイトが表示されなくなる原因
クライアント様のサイトはhtaccessが編集されてログインできなくなったという事でした。
この症状は典型的なマルウェア感染の症状となります。
htaccessファイルに下図のようなコードが書き込まれ.phpファイル(ワードプレスのログインプログラムなど)にアクセスできなくし、ハッカー以外の管理者がサイトへのログインができないように改ざんしたものとなります。
なぜマルウェア感染でサイト全体がアクセスできなくなるのか?
ワードプレスサイトがハッキングされ、ハッカーがサイトを改ざんする最も多い理由が、ほかの不正なサイトにユーザーを誘導したり、不正なソフトウェア等をダウンロードさせたり、不正なページを作成してGoogle検索エンジンに登録したりすることです。
サイト全体がアクセス不全になるとハッカーにはメリットが無いことが多いです。この為、サイト全体がアクセス不全になるのはハッカーの意図していない現象である可能性が高いです。
ただ、ハッカーの技術レベルが低かったり、複数のハッカーがサイトの改ざんを行ってマルウェアファイルがサーバー上でごちゃごちゃになってしまったり、質の低いバックドアなどのプログラムの実行によりサイトの一部ファイルが破損したり、HTACCESSファイルが上のフォルダに生成されてしまう等の原因によりサイト全体がアクセス不能になってしまう事がございます。
マルウェア感染(改ざん)でサイトがアクセス不全になってしまったら?
この場合、マルウェアや改ざんを取り除き、破損ファイル等を復旧することで基本的にはサイトの表示も復旧します。
しかし、管理画面にログインできない場合はマルウェア検出プラグインを使用できず、サイト全体のマルウェア検査駆除を行うのは非常に難しい作業となります。
また、ワードプレスの構造やプログラムの内容を理解していないと意図せずして正規ファイルのプログラムを削除してしまったりし、より復旧が困難になる場合がございます。
この為、専門家に早めにご相談いただくことをお勧めいたします。
WordPress 年間数百件のマルウェア駆除実績がある、マルウェア駆除の専門家集団WPドクターまでお気軽にご相談・ご依頼お送りください
