すこしまえから管理を請け負っているWordpressのサイトに2月ごろからマルウェアっぽい不正なファイル(以下にキャプチャ)がはいり、レンタルサーバ運営から指摘をうけて削除をしてきました。
FTPやログインパスワード、ログインURLなど変更し、本体・プラグインとも最新化しており、セキュリティ系のプラグイン(Wordfence、siteguard)をいれて動作させていますが、すこし経つとまた不正なファイルがでてきてしまい、いたちごっことなっています。
これを根本からなくすにはどうしたらよいでしょうか。そもそもどういう経路でファイルが生成されているのでしょうか(なにかのファイルが感染していて、それが呼ばれると生成するのかと思ったりもします)
妙案などあればぜひご提示ください。
また、ファイルはテーマ以外にも多数あり、バージョン管理されていないため移行は難しいです。
不正なファイル例。テーマ内やプラグイン内、まったくWordpressとも関係ないページに生まれています。
https://gyazo.com/85281b58c6113cb315ee5340d3c7be3a
https://gyazo.com/f5a4d36b02fdcf2ea1950849330688d5
https://gyazo.com/bd5e6735caa9b0d24e6e84c38867c2c7
https://gyazo.com/45bddd1df7d423a316943c2f2bac4d94
レンタルサーバ側は、原因を特定しているんですかね?
(原因とは、ログを見たら質問者さんが~をやってから見覚えのないファイルが増えたなどの根拠があるのか)
質問者さんの所だけに見覚えのないファイルが増えてますよ、っていう話をされたんですか?
ディレクトリトラバーサル的なことが成功されてしまっていたら、質問者さんの所からウィルスが入ったとも限らないですよね。
質問者さんだけでどうこう出来るレベルの話しじゃないんじゃないかな。(さすがにレンタルサーバ側でも既に動いているとは思いますが・・・) レンタルサーバ側と連絡取り合うしかないと思いますけどね。
あとは、トレンドマイクロ・マカフィー・Norton(ここに各サポート先が載ってます:https://www.sony.jp/support/vaio/beginner/school/security/06.html)にそのファイルを送ったりサポートを受けるべきだと思いますよ。
私のサイト:http://nanacy7741.hatenablog.com/
空けられたバックドアを見落としてるような印象を受けますね。怪しい不可視ファイルや画像ファイルに擬態したコードなどはないですか?
クリーンなバックアップがあるなら再インストールしてバックアップに戻してみたらどうですか。
FAQ/ハッキング・クラッキング被害 - WordPress Codex 日本語版
コメント(1件)