初めに
マルウェアに感染したwordpressを復活させたった(* -∀-)ドヤッ♪.
マルウェアとは
マルウェア とは、不正かつ有害に動作させる意図で作成された悪意のあるソフトウェアや悪質なコードの総称。
コンピュータウイルスやワームなどが含まれる。
悪意のコード 、悪意のソフトウェア 、悪意のある不正ソフトウェア、有害なソフトウェア、不正プログラムとも呼ばれる。
@wikipedia
駆除の流れ
- wordpressのスキャンを行う
- 感染したwordpressのコアファイルと通常のwordpressのコアファイルの差分を確認する
- .htaccessやindex.phpを確認
- スキャン結果を元に、ファイルを見ていく
- 怪しいコードがあれば削除
- 完治しているかのテスト
wordpressのスキャンを行う
wordpressのプラグインを使用して、wordpressのスキャンを行います。
物によりますが、何時間かかかるものが多いので、その間に2番をやりましょう。
コアファイルの差分を確認
真新しいwordpressを
よりダウンロードしてきます。そして、ドキュメントルートに存在するwordpressコアファイルの差分を確認します。
スパムコードは難読化されていることが多いので、
「このコードめっちゃ読みにくいやん」
てな感じのコードがあれば、要チェックです。
参考に、よく改変されることが多いのは以下のファイルです。
wp-config.php
index.php
wp-setting.php
function.php
テーマのfunction.php
テーマのindex.php
.htaccessやindex.phpの確認
次は.htaccess(えっちてぃーあくせす)ファイルを確認しましょう。
デフォルトの.htaccessは、
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
と、なっています。このほかに自分の書いた覚えがないコードが書かれていたら要注意。
スキャン結果を元に、ファイルを見ていく
怪しいコードを探します。
難読化されたコードがあれば、要注意です。
怪しいファイルは削除
必ずバックアップを取った上で削除しましょう。
githubなんかにprivateでバックアップを取っておいて、いつでも直せるようにしておきましょう。
同時に、DBのバックアップもとっておくとなお良いです。
完治しているかのテスト
処置を行ったら、完治しているかのテストを行います。
リダイレクトチェッカーや、wordpressのスキャンサイトなどを活用して行ってください。
もし治ってなかったら?
もう一度、1から手順を踏んでみてください。
気づいていなかったコードがあるかもしれません。
もし、それでも見つからないようであれば信頼できる業者に頼むことをお勧めします。
終わりに
バックアップは命。