マルウェアの感染でサーバー運営会社がファイルのパーミッションを000にして、サイトの表示や管理画面がアクセスできなくなってしまったサイト様の復旧をさせていただきました事例をご紹介いたします。
クライアント様のご相談内容
クライアント様のご相談内容は下記のようなものでございました。
*****ホームページのニュースページにコンテンツを追加しようとした所、不正アクセスが原因でワードプレスでホームページのメンテナンス画面がアクセスできなくなりました。
xサーバから、下記の連絡は受けています。
*****のホームページのメンテナンス画面の復旧対処をお願いしたいです。
お手数ですが何卒宜しくお願い致します。
以下はxサーバサポートからの対処方法の連絡です。
>
平素は当サービスをご利用いただき誠にありがとうございます。
エックスサーバーサポート ****と申します。
検知された不正ファイルにおいてパーミッション値を
「000」となるよう強制変更し、無効化としております。
(中略)
▼稼働していた不正なプロセス(****)
——————————————————-
/*****/l.php
——————————————————-
これを受け、当サポートにてセキュリティ調査を行いましたところ、お客様がご利用のプログラムにセキュリティ上致命的なバグ(脆弱性)が存在し、当該脆弱性を第三者に悪用されてしまった可能性が非常に高い状況でございました。
/home/******/.spamassassin/small.php
/home/******/autoreply/small.php
/home/******/htpasswd/small.php
/home/******/log/small.php
/home/******/mail/****/small.php
/home/******/mail/small.php
/home/******/public_html/.quarantine/
/home/******/public_html/.tmb/
/home/******/public_html/******/small.php
/home/******/public_html/small.php
/home/******/public_html/wp-admin/small.php
/home/******/public_html/wp-content/plugins/sid/
/home/******/public_html/wp-content/small.php
/home/******/public_html/wp-includes/small.php
/home/******/public_html/wp-login.php
/home/******/public_html/xmailinglist/small.php
/home/******/script/small.php
/home/******/small.php
/home/******/xmailinglist/*****/small.php
/home/******/xmailinglist/info88/small.php
/home/******/xmailinglist/lib/small.php
/home/******/xmailinglist/small.php
/home/******/xserver_php/session/small.php
/home/******/xserver_php/small.php(略)
サーバー運営会社が突然サイトの主要ファイルのパーミッションを000にしてサイトが表示されなくなる
サーバー運営会社は、サイトがマルウェア感染していることを検出すると、被害が広がらないようにサイトのファイルのパーミッションを強制的に000(アクセスも書き込みもできない書き込み権限です)にしてくることがあります。
これは、マルウェア感染による2次被害や感染がサーバーの中でさらに広がることを防ぐ措置で、致し方ない面もございます。
サーバー会社がマルウェアファイルのパーミッションを000に変えてしまう事で、マルウェアファイルだけではなく、ワードプレスサイトの重要な機能までアクセス不能(正規ファイルにマルウェアが書き込まれている場合も多々あるからです)となり、サイトの表示不全や管理画面の機能が使えなくなってしまう事があります。
サイトを復旧するには?
このような事例の場合、サイトの復旧を行うには、サーバー管理会社の指示を実施することに加え、基本的には下記のような作業が必要となります。
1 マルウェアを駆除しきる
2 感染しパーミッション000で停止された正規ファイルを復元する
3 パーミッションを戻す
3 ハッカーの侵入を許した脆弱性を解消
4 セキュリティ対策を行いサイトの表示を復旧する
ワードプレスドクターでは経験豊かな技術者がこの作業を代行し、サイトの復旧をいたします。
お気軽にご相談お送りください。