違法行為 ダメ! ゼッタイ!!
8月2日、自社お客様のWordpressを利用したサイトが真っ白になりました。
なんで!なんで!と丸一日かけて復旧作業していると、こんなことが判明。
・サーバー管理会社に問い合わせたら、「直近で海外からのアクセスがある」。
・.htaccessが削除されてた。
・パーマリンクが書き換えられた。
今回は
過去にあったようなマルウェアの被害はありませんでした。
が。
しばらくFTPにアクセスしてなかったのですが、まるっきり見覚えのないフォルダが作成されているようでした。
まずFTPの管理者権限を変更します。
サーバーの事情によりadminで使ってるID名は変更できなかったので、
(ID名を変更すると、FTPでアップロードしてあるデータを全部、オールクリアの状態にしないといけないと言われた。 つまりサーバー契約時の状態に)
パスワードを変更。
次に、.htaccessをアップロードしなおす。
これは手持ちのバックアップファイルをアップするだけでOKでした。
パーマリンクを修正
他のファイルはいじられておらず、運よくここを直すだけで完了。
※パーマリンクの設定は各ブログやWebサイトによって異なると思いますので割愛。
それとは別に……。
知らないディレクトリが作られていた!
まったく見覚えのないディレクトリがほぼ同時期に作成されていること。
ディレクトリ名も「helloworld」等、一見するとそれっぽい。
パーミッションが777、そんなことした覚えはまったくない…。
フォルダの中身と、最下層にはphpファイルが。
Locationで知らないサイトに飛ばしてた。。。
こわすぎる!
ちなみに上記のアドレスクリックすると
海外のアダルトサイトに飛んで感染しますので、絶対入力しないように。
一度確認のために開きましたが、感染しました。
そのPCにはノートン入れてましたので、
URLアクセス
→そのページをシャットダウン
→ノートンのシステム完全スキャンを実行&各種プログラムに紛れ込んだ怪しい挙動のプログラムを削除
→ブラウザの検索設定・アドオンの怪しいプログラムを削除(手動)
という非常にめんどくさい手順を踏まなければいけません。。。
怪しいと思ったURLは、以下のようなサイトで調査することができます。
aguse.jp: ウェブ調査
トラブルシューティングにメモ。
素材:
ぱくたそ