【最終章】うへっ!悪名高きバックドア系マルウェアの「FilesMan」が仕込まれていたことが判明

  • このエントリーをはてなブックマークに追加

WordPressの.htaccessが勝手に書き換えられて、しかもパミッションが444になるときは…」の投稿でも書いたとおり、私が管理しているサーバーの一つに、マルウェアが仕込まれてしまった。

ネットでいろいろ情報を探してみるも、日本語だとなかなかこれだ!という対策方法を見つけられず、海外の情報も調べながらいろいろ手を打ってみたが、どれも根本的な解決にはつながらなかった。

ところが先日、海外のサイトをいくつかネットサーフィンしながら、htaccessのパミッションが変えられてしまうマルウェアの情報ってないものかなと探していたら、、、、なんと、ようやく同じ症状の相談内容を見つけることができた!

しかも、それによると、どうやらWordPressの.htaccessが勝手に書き換えられて、しかもパミッションを444にされる時は、悪名高きマルウェア「FilesMan」が仕込まれている可能性が高いとのこと。

この、「FilesMan」が仕込まれてしまうと、ハッカー側はファイルの作成、改ざん、何でもできてしまう。WordPressやFTPのパスワードを変えようが何の意味もない。

結論から言うと、私のサイトの場合、マルウェアを除去しきれておらず、その仕込まれていた場所というのが、/wp-content/の下のテーマフォルダの中だったり、プラグインフォルダの中だったりした。

以前の投稿で紹介した「Exploit Scanner」や「Sucuri Security」というプラグインは、WordPressルートフォルダのファイル(例:wp-login.phpなど)や、/wp-admin/の下、/wp-includes/の下といった、WordPressのコアファイルが改ざんされていないかは調べてくれるが、/wp-content/の下は基本的にノーチェックだ。

要は、前回の投稿で足りなかったのは、

5./wp-content/の下のファイルも全て新しいものに変える

という作業。

しかし、プラグインは新しくできたとしても、いろいろと手を入れたテーマについては、新しいものに変えるというのが難しい人もいるだろう。(私もその一人)

その強い味方が、「Anti-Malware Security and Brute-Force Firewall」というプラグイン。

こいつをインストールし、Scan Settingsのページへ行き

antimalware00
画面右側にある「Get Free Key」をクリック。

antimalware01
すると、登録しろと言われるので、名前とメアドを入れて「Register Now」をクリック。

antimalware02
続いて、最新のマルウェアの定義ファイルをダウンロード。

antimalware03
そして、いよいよスキャン。対象ディレクトリ(What to scan)だが、サイト全体をスキャンしたほうがセキュリティ的にはいいに決まっているが、時間もかかるので、とりあえず「wp-content」を選択して、「Run Complete Scan」を実行。

これで、問題があれば怪しいファイルが検出されるはずである。

私の場合は数ファイル検出されたので、そのファイルの中身を確認し、そのファイルを新しいファイルに置きかえた。

 
今度こそ、ほんとに今度こそ、数か月にわたるマルウェア問題に終止符を打つこととなることを祈りつつ……(かなり弱気)


前後の記事

サブコンテンツ