Gumblar(ガンブラー)に俺様のサイトが被害にあってしまった・・・Orz
もう駆除したが 3日間張込に疲れたな・・(^_^;)
ネットで調べても結局 駆除の仕方や削除 解決方法は載ってない(笑)
フォーラムとかでも 行き着くところは「クリーンインストール」 !
FTPアカウントが漏れて.htaccessが不正に外部から書き換えられている みたいな内容が
多かったが 内部からプログラムで書き換えられていると思った
結局 自分でなんとかするしかないって思って 今は全て感染前に戻すことが出来た
あ~ぁ 疲れたぜ
まず 感染を知ったのは Googleさんからのお知らせ
あなたの管理しているサイト**** の.htaccess をハッカーが弄れる状態のようです みたい案内が来た
試しに自分のサイトを Googleで検索して結果からクリックしたら
な!なんと!! 真っ赤なページで「このサイトは危ないですよ!」みたいな画面が出てるじゃないか!!
俺様ビックリ ええええええ!?って事で
借りているServerの中身を見ていると どうやら .htaccess がいろんなフォルダに出来上がっていて
そのファイルの中身は どうやら 海外のウィルスをばら撒くサイトのURLへリダイレクトするようだ・・・・
慌てて .htaccess を消したり もとに戻したりしたが しばらくするとまた 出来上がったり.htaccessの内容が
改ざんされたりして・・・
んーーー 困った・・・・
Googleにはすぐ 再調査リクエストをしたので 警告は24時間以内に消えてくれたが
次は検索結果をクリックすると Googleだったり違うサイトにリダイレクトされてしまう状態がちょっと続いた・・・
WEBのウィルスって 困るよな 今は俺がServer(PC)を管理している訳じゃなく レンタル領域だから
ウィルス駆除ソフトとか使えるわけじゃないし・・・
WEBのウィルスにもいろんな種類があると思うが 今回感染したのは どうやら 一つのWPのテーマから侵入してきたらしい もちろん そのテーマを持つWPは削除した
俺 あまり知識は無いが こんな方法で解決した
解決方法
まず .htaccess が改ざんしたり 生まれたりするところはほとんど決まっていた 逆に.htaccess が現れなかったり
改ざんされないフォルダも決まっていた
それがヒントとなった
例えば 2階層下にindexページがあるサイトは救われていた
http://*****.jp/****/index.phpみたいに 以下にindex.htm や index.php 等があるサイト
しかし次の場合は .htaccessが生まれている
http://**.jp/*index.htmを仮に置いた**/****/ この場合 仮に置いたフォルダに.htaccessが生まれた(笑)
どうやら index.htm index.html index.php 等 インデックスページに使われるファイル名を見て そこに.htaccessを改ざんまたは作成をしているようだ
ここまでわかれば その人流で臨時処置は可能
まぁ そうやって攻撃を受けながらも臨時処置して 時間稼ぎをしている間に
ウィルスの場所を特定しなければ と思って探した
あった これは偶然なのか 大体a~z 順でファイルの観覧は見えていると思うが 最後の方のフォルダ
そこに wp-xml.php(PHP.Backdoor.Trojan)
と boolian.php(PHP.Backdoor.Trojan)があった
ServerからWEB用フォルダを個別にダウンロードしようと思い 最後の方からダウンロードしたらすぐノートンさんが発見した(^○^)
こいつかぁ って事でそのサイトはすぐ削除した 残るフォルダも全てチェック
他にはウィルスは見当たらなかった
今回 いろいろ試した中で無関係な事も随分行ったが とりあえず書いておこう
FTPのパスワード変更
FTPをIP制限にした
FFFTPからNEXT FTPに変更 SSL通信をするようにした
契約しているレンタルサーバーのパスワードを変更
自分が管理している WPのパスワードを変更
WPのプラグインを最新の状態に全て更新
自分のPCをウィルスチェック セーフモードでも行ってみた
集中する時はクーラーで部屋を冷やした (^_^;) だって 窓開けても部屋35℃だぜ
しかしまぁ 寝不足でこの暑さ・・・ 大変な3日間だったな 正確には2日半くらいだが
直ってよかった
うちのUni(カニヘンダックス)老犬も 俺がPCに集中していて
遊んでくれないのをわかってか
置いてあげたタオルで巻いたアイスノンに頭乗せて寝てた
かわいいね~~~(^○^)
0 件のコメント:
コメントを投稿