ワードプレスブログがマルウェアに感染!発覚から対処、復帰するまでレポート

この一週間の間に、大変なことがありました。

このブログと、もう一つ持ってるお菓子のブログが、マルウェアにやられてしまったのです。

この記事では、マルウェア発覚からおこなった対処、ツイッターフォロワーさんの協力で無事ブログを救い出した経緯を書きたいと思います。

先に伝えておきたいのですが、もしサイトに変な英字が表示されていて、その中の

Fatal error: Uncaught Error: call to undefined function wp_get_server_protocol

で検索して来られた方は、サイトが乗っ取られる直前かもしれません。

一刻を争いますので、急いで対処して下さい。

この記事は、発覚した経緯から詳しく書いていくので、対処方法だけ知りたければ「マルウェア対処方法」まで飛んで下さい。

この記事で分かること

  • ブログが汚染されていく課程
  • ブログは乗っ取られる可能性がある
  • マルウェアから復帰するには
  • 感染する前からの予防方法

ブログの異変

マルウェア

ブログの異変に気づいたのは、7月2日のことでした。

なぜ気づいたか、最初におこなった対処から書いていきます。

マルウェア感染?ブログに異常を見つけた7月2日

昼過ぎ頃にパソコンを起動し、いつも通りブログをチェックすると、表示されずに英文が出てきました。

Fatal error: Uncaught Error: call to undefined function wp_get_server_protocol

で始まるエラーメッセージでした。

2ブログとも同じ状態でした。

何これ? と何度も読み込み直すと、たまーにちゃんとブログが表示されることがありました。

でも、ページを移動するとまた同じエラーでした。

ブログ異常で仮説1:原因はプラグインか?

ツイッターで

「ワードプレスにエラーが出て表示もログインもできません。 Fatal error: Uncaught Error で始まるエラーが出てます。 どなたか詳しい方いらっしゃいませんか?」

と書いたら「直前で何かやらかしてる可能性が高い。プラグインの更新に失敗したとか」と返答下さった方がいました。

※なお、ここではまだ詳しいエラー内容を公開していませんでした。

プラグインの動作を停止して調べる必要がありましたが、ブログは管理画面も表示できない状態。

なので、FTPツール(ファイルをアップロードしたりダウンロードしたりするツール)を使用してプラグインのファイルを直接触るしかない。

ということで、FTPツールをダウンロードしました。

はい。今まで運営しててFTP使ったことなかったんですよね…。

問題発生

でも、FTPツールで大事なデータをバックアップすることからやろうとおもったら、なんと、ダウンロードできませんでした。

「なんでだよ…詰んだ…」

いちいち検索して調べます。

で、FTPツールでダウンロードできない場合は、ダウンロード先に指定しているフォルダがダウンロードできないフォルダだということが分かりました。

適当なフォルダを用意して、ダウンロードしたらできました。

そして、public_htmlをバックアップ。

しかし、めちゃくちゃ時間がかかったので、この日にできたのはバックアップ取るだけでした。

超心配でしたが、寝ました。

マルウェア感染?救世主が現れた7月3日

目を覚ますと、他のフォロワーさんからも同じように「プラグインを止めてみましょう」と来ていました。

このフォロワーさんが、大変お世話になることになる「てっちさん」です。

原因はプラグインではない

指示通り、FTPツールでプラグインの入ってるフォルダの名前を一時的に変えました

プラグインが原因だとしたら、これで管理画面に入れるかも。

とのことでしたが、ダメでした。

仮説2:ファイルの欠損

プラグインでなかったことを伝えると、

とのことで、ワードプレス最新版をダウンロードして、

/public_html/wp-content

/public_html/wp-config.php

この二つは他のフォルダに移動するなど消しておいて、他のファイルをFTPツールでpublic_htmlの中にアップロードしました。

すると、なんと直りました。

直った!!………と見せかけて…

直った直った!!と大喜びして、その日は寝ました。

…………しかし。

マルウェア感染?ヤバい気がすると気づいた7月4日

次の日、このブログがまた英字エラーメッセージになっていました。

このときの症状として、管理画面にログインはできるものの、公開しているページは一切見れない、管理ページも投稿ページなどの自分で作ったページのみ見れない感じでした。

また、お菓子ブログの方はこのときは無事でした。

もう一度てっちさんに話を聞いてもらうことにしました。

wp_get_server_protocolがない

エラーメッセージで言われているエラーは「wp_get_server_protocol」がないよ!とのことらしいのですが、調べてみるとしっかりありました。

この辺で私は、

「もしかしてかなりヤバいのでは…」

と怖くなってきました。

いや、最初から怖いけど。

マルウェア感染発覚!対処!7月5日

起きると、昨日まではお菓子ブログの方は問題なかったのに、こちらのブログと同じ症状が出ていました。

パーミッション?

てっちさんはパーミッションが適切ではないかもしれない、とのこと。

パーミッションもこのブログ始めてから一切いじってないよ…。

パーミッションがなんなのかは、昔ホームページ持ってたからなんとなくは分かるけど…。

でも、いじってみても変わらずでした。

ここで、てっちさんとのやりとりはツイッター上ではなく、DMでのやりとりになっていきます。

調べていたらウイルスを踏む

この日、てっちさんはお仕事。

きっとお仕事終わるまで、夜まではあまり進められないかもしれない…。

自分でもできるだけ調べておこう…。

と検索しまくってましたが、完全に当てはまる情報は見つけられず。

挙げ句の果てに、ウイルスっぽいページを踏みました。

ああ…私のバカ…落ち着け…。

てっちさんが直接いじってくれる!?

悶々としていると、お昼過ぎ頃にてっちさんからDMがありました。

てっちさん「15時頃からヒマになるので私が直接サーバーを触るのもありかも」

なんですと!!

神かな!???

調べまくっても全然ほしい情報にたどり着かず、更に娘が「あそんで~」と来るのでイライラしていた私。

ぜひお願いします!と頼むことにしました。

このときのブログの状況は、両ブログとも

  • 公開部分は英字エラー
  • 管理画面はダッシュボードといくつかのページは表示される
  • プラグインページは表示されるがプラグインを無効化など操作すると英字エラー
  • テーマのページは現在入ってるテーマだけが表示され、他のテーマは表示されないし操作もできない

という感じでした。

15時:てっちさんにログイン情報を渡す

てっちさん「ワードプレスの管理画面に入る情報と、あとXサーバーにSSH接続したいので、Xサーバーの情報とが必要ですが、いいですか?かなり機密情報にはなりますが」

てっちさんはこう言って、気にしてくれましたが、私はいつもてっちさんのツイートを見ていて、人柄の良さは伝わってくるし、共通のフォロワーからの評価の高さもよく知っております。

私「信じてます。お願いします」

ということで、二つのブログとサーバーへのログイン情報を渡しました。

ドキドキしながら続報を待つ私。

待つしかないので、ずっと遊びたがっていた娘と遊びながら待っていました。

怪しいファイル発見!

怪しいファイル

1時間くらい後。

てっちさん「ウェブルート(ワードプレスのデータが入っているところ)に 863df1dz.php edrg snto3 v99y95 by5yqe xwlmz …といった見慣れないファイルやフォルダがあるんですが」

てっちさん「これはマージさんが置いたものですか?」

なんですと!!

実はこれ、私がFTP接続したときに見かけていて、でも私が何も分からないが故に、こんなファイルもあるのか…とスルーしてしまっていたものでした。

そしててっちさんがこの863df1dz.phpファイルをダウンロードして調べてみると…。

怪しい

私「ひぃぃぃぃ!!」

もうホラー画像だわこんなの…。

てっちさん「いまwp-includesを入れ替えています。これで直ったらいいのですが、、、というところ」

ということで、こっちのブログの方は、この時点で直りました。

お菓子ブログはもっと深刻だった…

そして、てっちさんがお菓子ブログの方も見てくれました。

すると…。

てっちさん「あ、特化の方、完全にサイト乗っ取られてましたねいま見たら。こわ。いまwp-contentを入れ替えているので今しばらくお待ち下さい。。」

私「ひぃぃぃぃ!!」

乗っ取られた!!

乗っ取り

こんなページになっていたそうです。

私「これ!私が踏んでしまったウイルスっぽいページ!!」

てっちさん「多分、uncaught error: call to undefined function wp_get_server_protocolでググると」

てっちさん「元々は普通のサイトだったのに、乗っ取られてわけわからんサイトになったやつがいっぱい出てくると思います」

てっちさん「乗っ取りが微妙にうまく行ってなくて、wordpressと競合しちゃってる状態のやつが」

てっちさん「uncaught error: call to undefined function wp_get_server_protocol」

私「そ、そういうことか!」

これで、最初に言った

「もしサイトに変な英字が表示されていて、その中の

Fatal error: Uncaught Error: call to undefined function wp_get_server_protocol

で検索して来られた方は、サイトが乗っ取られる直前かもしれません。」

に繋がります。

私が本当に運が良かったのは、早めに見つけることができて、てっちさんが声をかけてくれたのも対処を肩代わりしてくれたのも、奇跡的なタイミングだったってところですかね。

少しでも遅れていたら、どちらのブログも完全に乗っ取りが成立して、私の方からの操作を一切受け付けなくなっていた可能性があります。

でも、とりあえず無事に2ブログとも救出できました。よかった…。

マルウェア対処方法

セキュリティ

さて。本題の対処法です。

とはいえ、私はすっかりてっちさんにお任せしてしまったので、細かい作業はどうやったのかよく分かっていません。

でも、てっちさんは解決した後こう言っていました。

「あと、もしまた同じことが起こった場合ですが、FTPからわけのわからんファイルやフォルダを消してwp-includesを新品に上書きすればとりあえず動くということです。」

きっとてっちさんがそのうち、もっと詳しくブログ記事にしてくれるかもしれないです。

でも、ワードプレスは、私と同じように何も分からないままやっている人も多いので、このような対処を適切にできる人ばかりではないと思います。

私がしたようにツイッターで投げてみるのもいいですが、必ずしも応じてくれる人がいるわけでもないし、待っているだけでは深刻な事態になってしまうかもしれません。

ここで、おすすめしたいマルウェア駆除サイトをご紹介します。

有料で、結構高いですが、いち早くどうにかしたいのであれば、ここに依頼してみてください。

https://wp-doctor.jp/

マルウェアを予防するために

こんなことになって、セキュリティ対策の重要さを実感しました。

ことが起こる前に予防するという意識を、もっとしっかり持っていなければならなかった。

今回のことを反省して、私はセキュリティプラグインを導入しました。

上記でリンク先として紹介した「ワードプレスドクター」さんのサイトにある「マルウェアスキャナープラグイン」です。

導入すると、怪しいファイルのスキャンや、ログインするときに足し算の答えを求めてきたりして、人間でないアクセスを拒否する設定にしたりできます。

ウイルス定義ファイルは常に更新されるので、しっかり適用するには有料になってしまうようです。

私は、もう少し様子を見た後で、有料サービスに移行するか考えようと思います。

※追記

この後、ワードプレスドクターは有料の契約をしました。リアルタイムブロック機能のおかげで異常が起こることはなくなりました。

 マルウェア感染報告まとめ

というわけで、本当にヤバいギリギリ状態からなんとか復帰したレポートをお届けしました。

もし今大丈夫でも、いつ起こるか分かりません。

あなたも、もしかしたら明日なるかもしれません。

なってからでは遅いので、至急対策して下さい。

とりあえずは、パスワードをめちゃくちゃ難解にすることが一番簡単な対策になると思います。

あと書き忘れましたが、お菓子ブログの方は、ワードプレス管理画面の「ユーザー」のところに、自分ではないユーザーが増殖していました。

これはものすごくヤバいみたいです。本当にギリギリでした。

今回、てっちさんのおかげで本当に助かりました。

私、ブログ書いてて成長してる部分あるのかな? などと思っていましたが、こういう協力してくれる人が身近にいてくれる人脈があったってのは、この2年ツイッターをやってて積み上げた結果なんだろうなと思います。

心から、運が良かったなぁ…と思います。

てっちさんがフォロワーだったことも、こういう時に手をさしのべてくれる人だったということも、本当に運が良かったです。

私が独身でてっちさんも独身だったら、交際とかすっとばして「結婚して…」って言うところでしたね…w

きっとこの記事でてっちさんに惚れた人も多いでしょう。男女問わず。

ほんと、ありがとう以外に言葉が思いつかないことがもどかしかったです。

いつかどこかで恩返ししたいです。

これ以上何も起こらないように祈りつつ、今日の記事は終わりにします。

いやぁ大変でした…。

あ。そんなてっちさんのブログ、こちらです。

https://killtime.blog/

それではまた!

にほんブログ村 ライフスタイルブログ ささやかな暮らしへ

関連記事

TOP