Wordpressで改ざんの対応をお助けしました。
現象→ サイトを開くと別ページに誘導される。
環境→ VPS(バーチャルプライベートサーバー)環境でCentOS6 の環境、システムはWORDPRESS
実際に「お助けした手順」以下になります
- まず現在の状態を保存します(分析等の為に)。SSHでアクセスしてサイトソース(PHPだのJPGなどのファイル群)をZIPにまとめてローカルにダウンロードしました。
- ローカルにダウンロードしたZIPを解凍。この解凍段階で「ウィルス対策ソフト」は「 PHP/Kryptik.BQ トロイの木馬 」ろ「PHP/Agent.LE トロイの木馬 」が大量検出されました。ウィルス対策ソフトは解凍されローカルディスクに書きだすタイミングでウィルスを検出。検出したウィルス対策ソフトは 「ESet」です。この検出したログをエクスポート(xml形式)しました。
- 上記ログの結果で、対象のフィアルをFTPで( VPSのLinux CentOS6のサーバー上から)削除しました。この段階で URLを開くと まだ 一瞬 見知らぬ URLに接続してる模様!。URLを打込んで画面のステータスを動画でキャプチャーして確認しました。(これいい案!)
リダイレクトしてるのは tuniaf.com という 危ないサイトらしいですね。すでにウィルス対策ソフトの「Eset」では「サイトブロック」が掛かる様なサイトです。 - サイトソースをローカルでウィルススキャンし、感染ファイルを削除したり怪しいコード部分を削除したりしました。ここまでの状況は! どうやらPHPのコードをサーバー側に書かれ、インデックスページを開く度にリダイレクトされているという状況です。
Wordpressはindex.php からそれぞれのPHPのソースを読みに行くので、どのPHPソースがリダイレクトの挙動をしているか「 追いかけるのが難しく断念!」 ※ FTPのログやApacheのログで確認しようと思いましがFTPをすでに乗っ取られている感じですので、ウィルス対策ソフトで検出やばいもんを削除して対応するが、またまたウィルス感染は増殖してる感じがします。 - ここは一番安全で間違い無い方法を選択したいと思います。バックアップファイルのリストア(戻し)が一番安定してクリーンに出来ると考えバックアップを戻す決意をしました。
※ 改ざんされてるとは言えサイトは見れるので、バックアップ以降の記事を確保して戻してあげるべきでしたが後のまつりでした。 - バックアップを戻す前にセキュリティーレベルを上げる事にしました。まずFTPの設定を変更し、ポートを2000台に変更し、PASVモードのポートも設定し、さらにFTPのユーザのパスワードを変更しました。
- 次にSSH(ポートは変更済み)でリモートアクセスし、Linuxコマンド rm でサイトのソースをすべて削除します、FTPで削除しても良いのですが時間が掛かるのでスキルがあるならSSHで削除がお勧めです。FTPでアップロードし、パーミッションを604に変更、次にSQLのデータをインポートして、URLを入力しEnter あれ 出ない! パーミッションを 744にしてみる。動いた WP-Contens のパーミッションは 774 にして、URLをたたいても別のURLをコールしたりリダイレクトしない事を確認。
お助け終わりです。
今回のお助けの学び!
Wordpressは「バックアッププラグイン」でGoogleドライブにバックアップの保存を週1回位するのが良いですね。最近は便利なプラグインも増えて来たし、安心です。もしサイトソースを今回の様にZIPでごそっととってバックアップする時は、mySQLのエクスポート等データベースのバックアップも忘れずにしましょう。
挙動を解析してクリーンにする方法も良いのですが、やっぱり感染前の状態に戻すのが間違いない方法ですね