WEBサイトがウィルス(マルウェア)に感染したときの対処

WEBサイト作成

WEBサイトがウィルス(マルウェア)に感染したときの対処【無関係なサイトを別タブで開くjavascriptを埋め込まれた】


WordPressサイトを開くと自動的に新規タブで無関係なサイトを開くようになった

恥ずかしながら、先月はじめに当サイトを開くと別タブでロシアだか東欧だかのイミフのサイトが開かれてしまい、さらに自動的にwp-updatesという管理者権限の新規ユーザーを作成するという現象が発生するようになり、これはマルウェア(悪意のあるソフトウェアmalware=maliciousとsoftwareの造語)にやられた、と直感しました。

6月上旬のレバラン休み中の土曜の朝という、最もアクセスが少ない時期に発生したのは不幸中の幸いであり、急遽メンテナンスモードにして土日の2日間でなんとか解決に至りましたが、やり方はなかなか巧妙です。

まずリダイレクト(自動的に別のサイトに転送)するのではなく別タブでしれっと無関係なサイトを開きやがるので、ウィルス感染に気づくのに時間がかかること。自分はたまたまブログ書いていたので気づきましたが、自分のサイトをマメに開いて動作確認していないと見過ごしてしまうかもしれません。

この別タブで開かれるサイトは毎回変わるのですが、おおよそ物販やアフィリエイト系のサイトのようで、想像するにこのマルウェアの目的はPV(ページビュー)を呼び込むことで、Googleアドセンスやアフィリエイト収入を獲得することだと考えられます。あー胸糞悪い。

一応自分もシステム業界の人間なので、現象からしてwindowオブジェクトのopenメソッドまたはlocationメソッドで無関係なサイトを開くjavascriptがどこかに埋め込まれたのではないかとまでは想像できたのですが、不思議なことにDBをSQLのSelect文でスキャンしても、テーマファイルやプラグインファイルをGREP検索(ファイル内のテキスト検索)してもそれらしい構文はヒットしませんでした。

これはいよいよjavascript自体が暗号化もしくは難読化されている可能性大で、そうなるとマニュアルでウィルスが埋め込まれていそうな箇所を1個ずつチェックしていくしかないなあと長期戦も覚悟し、最悪Wordpressを再インストールして400以上ある投稿と固定ページを1個ずつ再登録することになります。

また想定される最悪の事象は、バックドア(不正に侵入するための入り口)を仕込まれて遠隔操作されたり、内部からDBやファイルを破壊されることなので、マルウェアスキャンツールとして有名なプラグイン「Wordfence Security」で、疑わしきゴミファイル、プラグイン等を一掃しました。

ウィルス感染の可能性がある場所を特定する作業

WordPressで構築したサイトならウィルスコードが埋め込まれる可能性のある場所はおおよそ以下のとおりになります。

  1. WordPress本体のファイル
  2. テーマファイル本体
  3. テーマ設定
  4. プラグイン本体
  5. プラグイン設定
  6. データベース(投稿・固定ページ)

問題の特定作業のために、まず最初にマルウェアスキャンで使ったWordfence Securityプラグインや、ブルートフォース攻撃(可能な組合せを全て試す力任せの総当たり攻撃)やリスト攻撃(どこかで入手したID・パスワードのリストを用いて、正規ルートから不正アクセス)対策用の、ログインページ変更機能やログインロック機能を使っているSiteGuard WP Plugin以外の、すべてのプラグインをアンインストールし、プラグインが自動生成するテーブルもDBからDROP(削除)しました。

心情的にいかにもそれっぽいwp-updatesという管理者権限のユーザーを新規追加されることが非常に気持ちが悪く、まず最初にWordpress本体の全ファイルを最新のzipファイルから置き換えましたが、依然として無意味サイトを別タブで開きます。ということでWordpress本体のファイルはシロです。

フッター領域のコピーライト部分に埋め込まれていたコード

フッター領域のコピーライト部分に埋め込まれていたコード

次に現在のテーマファイルを、昔使っていた有料テーマファイルに変更してみると、なんということでしょう、件(くだん)の事象が発生しないではありませんか。はい、意外にもあっさりと問題が絞りこまれました。

ということでマルウェアはテーマファイルかテーマの設定に埋め込まれていることが判りましたが、テーマファイル自体に最近の更新日付に変わっているファイルはなかったため、これはもうテーマの設定情報のどこかにマルウェアが居ると確信し、一個ずつチェックしていくと案の定ありました。こんなの埋め込まれていました。気持ちが悪いよ、本当に。。。

フッター領域の会社名にscriptタグが設定されているので、サイト上のすべてのページで事象が発生するわけで、しかもコード変換して難読化されているので検索してもひっかからないという質の悪いいたずらです。

セキュリティの強化方法

WordPressはMicrosoft Windowsとのように、ブログを立ち上げる際に使われる標準CMS(Content Management System=コンテンツ管理システム)であり、全WEBサイトの30%を占め、ブログなどのCMSの中で60%を占めるため、マルウェアの種類も圧倒的に多いです。

そのためにも上記のようなWordfence SecurityやSiteGuard WP Pluginなどのプラグインの導入は必須であり、それに加えて管理フォルダ(wp-admin)にベーシック認証をかけたり、WAF(Web Application Firewall)によりスクリプトの実行等に制限をかけたほうがいいと思います。

それでもマルウェアの侵入は100%防げるわけではなく、セキュリティを強化することで日々の運用上の手間がかかったりするので、デザインにそれほどこだわらない企業サイトやブログの運営を目的としたサイト構築であれば、ライブドアブログやはてなブログなどのブログサービスを使うほうが、コンテンツ作成に集中できると思います。





おすすめ記事一覧

大統領選挙で考えたギャップにハマるということ 1

ギャップにキュンとするというのは人間の本能みたいなもので、ジョコウィの私利私欲のない素朴なおじさん像と、その実強力なリーダーシップを発揮する実務派という内面が、一見普通の人だが実はスゴイというギャップ好きのインドネシア人に大ウケして、大衆は一種の集団催眠状態にあるようです。

情報の質のレベル 2

見える化された結果を共有化することで問題点が共通認識されますが、共有化が進むことで情報の持つ希少価値が薄れて困る人間がいる場合、有益な情報を独占することでポジションを高めようという政治力が働きます。

インドネシアのスタバの店員にありがたい人生の教訓を教わった件 3

いつものスタバでいつものアイスコーヒーを注文していると、だいたいなじみの店員が「今日は珍しい時間に来たねー」とか「今日もいつものアイスでいいのかなー」とか馴れ馴れしくフレンドリーに話しかけてきます。

宗教によって異なる「死んだらどうなる」の考え方 4

キリスト教もイスラム教もともにユダヤ教から派生した宗教であり、それぞれイエス・キリスト(本人が神)またはアッラーという唯一無二の神を信じます。

株価操作なんてインドネシア株では当たり前 5

株価は売り注文と買い注文により変動し、大量の売り注文を買う注文がたくさん入れば、他の投資家達は「俺も俺も」と続くことで株価が上がります。

心臓に毛が生えたインドネシア人のずうずうしい転職活動を応援してみた 6

インドネシア人は秘密の話は誰かに暴露しないと精神の安定を保てない人が多いため、内緒の話に情報の希少性は少なく信憑性も低いことが多いので、「ここだけの話」という枕詞付きで聞かされる話は話半分に聞いておいたほうがいいかもしれません。

日系企業のインドネシアでの存在意義 7

今のまま日本の人口減が続けば、内需は縮小の一途をたどるわけで、そうなると日本国内市場だけで生き残るのは難しいと判断する国内企業が、海外市場に活路を見出そうとするのは必然です。

チャンスはあるが勝てる分野を見つけるのが難しい 8

実際にインドネシアに住んでみて、自分で動いて人と話しをして、現地の事情を少しずつ理解していくにつれて、インドネシアで起業することが意外と手強いことに気づき、その難しさの原因は、高い送料と関税であったりローカル企業との競争であったり、就労ビザ(IMTA)や外国人技能開発基金(DPKK)などのランニングコストの高さであったりします。

インドネシアのシステムインテグレーション業界 9

先日JETRO(日本貿易振興機構)さんと、インドネシアの中小企業のIT投資について意見交換させていただく機会をいただいたのですが、そこで「システム投資のコストメリットはどのように説明できるのか」という、システムインテグレーターの存在価値にも関わる重要な問題提起がありました。

肉体と精神と心と魂 10

「Body and Soul」といえば、昨日の内閣改造に伴う人事で内閣府政務官に内定した自民党の今井絵理子参議院員がメンバーだったSPEEDのデビュー曲であり、インドネシアの老舗女性ファッションブランド名でもあります。

ジャカルタのラーメン市場 11

僕がインドネシアに初めて来たのが1997年10月、インドネシア語は分からないし、仕事は辛いし、周囲の人間は理不尽だし、一時期日本に帰りたくて仕方がない時期がありましたが、当時自分をかろうじてインドネシアに繋ぎ止める心の支えとなっていたのが、協栄プリンスビル(今のWisma Keiai)の日本食レストラン「五右衛門」であり、ここでキムチラーメンを食べることが唯一の楽しみと言っても過言ではありませんでした。

ブランド力、技術力、資金力の3要素 12

1998年のジャカルタ暴動後、ルピアが暴落し海外からのドル建て債務を抱えた国内企業が利子の支払いに苦しんでいた頃、僕は外貨が獲得できるインドネシアでの新しいビジネスを探していました。

日本とインドネシアの間でのタイムマシン経営が通じなくなっている件 13

先進国と後進国との間にある流行のタイムラグを利用して、先進国での成功例を後進国で実践するビジネスモデルをタイムマシン経営といいますが、インターネットの普及に伴い情報がフラット化してしまい、モノと情報のタイムラグが限りなく小さくなった今、先駆者である中小零細同業他社が乱立し市場が出来上がったところに、後発の大手が参入し先発零細を駆逐していく、という典型的な負けパターンにはまります。

サリナデパートとマクドナルド 14

本日5月10日を最後にインドネシアのマクドナルド第1号店であるサリナデパート店(Sarinah)が閉店になりますが、ジャカルタのショッピングモールが新しいコンセプトでモダンにリニューアルされ続ける中で、僕がインドネシアに来たばかりの20数年前には、若者の待ち合わせ場所の定番でもあったサリナデパートやブロックMのパサラヤ(Pasaraya)などは完全に時代に取り残されてしまいました。

不景気の歴史 15

僕がインドネシアに来てからこれまで何度か経済不況を見てきましたが、今回の新型コロナウィルスの感染拡大により、間違いなく景気後退しますので、数年後にはこれがコロナショックとかコロナ不況とか呼ばれるようになるのかもしれません。

日本のバブル経済崩壊後とインドネシアの通貨危機後 16

自分が大学に入学したのがバブル経済末期の1991年、土地も株価もMAX爆上げして、三菱地所がアメリカの象徴であるロックフェラーセンタービルを買収し、ジュリアナ東京でワンレンボディコン(登美丘高校ダンス部のバブリーダンスみたいなやつ)のお姉さん達が扇子振って踊っている時期でした。

内需と外需の自国経済に及ぼす影響 17

公共事業投資を行っても、お金が企業内や個人の貯蓄に滞留してしまい国内消費が増えないのが日本の状況であり、国内消費は増えても消費材の輸入品比率が高く、国内資産が海外に流出しているのがインドネシアの状況です。

2019年の総選挙を前にインドネシア政治史のおさらい 18

来年の大統領選挙(Pemilu Pilpres Pileg Indonesia 2019)に向けての選挙運動(Kampanye)を解禁するにあたり、投票用紙に印字される順番はジョコウィ現職大統領・マフル副大統領候補組が1番、プラボウォ大統領候補・サンディアガウノ副大統領候補組が2番と決まりました。

コーヒーをもっと楽しくもっと美味しく 19

インドネシアは北回帰線と南回帰線をはさむコーヒーベルトに位置するコーヒー栽培に適した国で、1602年の東インド会社の進出を契機にオランダの植民地支配が300年以上続き、その間アラビカ種のコーヒーが持ち込まれ、気候のいい高原地帯で栽培が開始されました。

インドネシア人の悪魔祓い 20

人間誰しも自分の中に悪魔が潜んでおり、それが何らかのきっかけで表面に出て来るという考え方自体には、背景に宗教が有るか無いかの違いだけで、基本的に理解できる話であり、それを信じるか信じないかは別として、そういう考えがあることを認めることは大切なことだと思います。

-WEBサイト作成

© 2020 バテラハイシステム Powered by STINGER