wordpress製サイトの調査依頼があったので調べてみるとfunctions.phpが書き換えられています。
以前、不正にFTPでアクセスされ、コードを埋め込まれたサイトを修復した時とは違い、マルウェアを埋め込まれたようなので修復方法を調査してみました。
テーマフォルダのfunctions.phpには、悪意のあるコードが先頭に埋め込まれています。
不正に追加されたコードを削除しても、また同じようにソースが埋め込まれてしまいます。
他にも悪意のあるファイルが無いか調べると、関係のないファイルが追加されているのでそちらも削除します。
削除ファイル
wp-includes/wp-vcd.php
マルウェアの本体ですね。
wp-includes/wp-feed.php
勝手に作られていたので削除します。
修正ファイル
wp-includes/post.php
wp-vcd.phpを読み込む処理が先頭に追加されています。
1 |
<?php if (file_exists(dirname(__FILE__) . '/wp-vcd.php')) include_once(dirname(__FILE__) . '/wp-vcd.php'); ?> |
functions.php
先頭に埋め込まれたコードを取り除きます。
これで、マルウェアを駆除ができたようです。
注意点
このマルウェアは同サーバ上で、他のサイトまで感染する可能性があります。
サーバからエクスポートしたデータでローカルに修正用の環境を作ったところ
xampp環境の、wordpressを利用しているすべてのサイトに感染しwp-vcd.phpが追加されたり、post.phpが書き換わっていました。
感謝
同じマルウェアに感染してしまい困っていました。
この記事のおかげさまで除去できました。
とても助かりました。
ありがとうございます。