さて、これはちょっとした問題です:
私は最近、IT 企業 (中小企業レベル) に就職しました。彼らは Web 開発を少ししています。当初、上司はサードパーティのフリーランスの開発者に大手クライアント向けのサイトを構築させていました。彼は自分のサービスに不満を持っていたので、私に任せてくれました(ウェブサイトの管理、物事の変更など)。この Web サイトはスパムのブラックリストに登録されており、おそらく「StealRat ボットネット」と呼ばれるものであることがわかりました。いくつか読んだところ、通常は wp-content/plugins フォルダーおよび/またはそこにあってはならない php ファイルにあることがわかりました。
自宅では Linux マシンを使用しているため、サーバーに sftp でアクセスできます (GUI には Filezilla も使用しています)。これらの破損したファイルを追跡してこれを取り除く方法についてのヒントはありますか? ファイルをふるいにかけてみましたが、探しているものがわかりません。これは大きな問題であるため、どんな助けも大歓迎です。
破損した WordPress Web サイトのほとんどは、悪意のあるテーマやプラグインが原因です。
wp-content/themes ディレクトリと wp-content/plugins ディレクトリの両方の php ファイルでexec(base64_decode(and (悪意のあるファイルに隠されている最も一般的なスニペットであるため)が出現するたびに検索してみてください。eval(
Web サイトがいつ感染したかがわかっている場合は、その頃に編集または追加されたファイルを探すこともできます (サーバーにアクセスできる場合は、SSH で簡単に実行できます)。
幸運を祈ります。最近、いくつかの WordPress サイトをクリーンアップする必要がありましたが、これは簡単なことではありませんでした。
まず、バックアップを作成し、バックアップ操作からの復元が機能することをテストします!!
これがよく知られたマルウェアである場合は、マルウェア スキャナーを調べることをお勧めします。無料のオープンソース オプションの 1 つは、rfxn の Maldetです。そのプロジェクトへのリンクはなく、うまく機能するかどうかはわかりませんが、毎日スキャン (cron ジョブ) してレポートを電子メールで送信するように設定でき、署名も毎日更新されると思います。
通常のコードで使用することが想定されていない関数を無効にして、PHP インストールを強化します。このチート シートを使用して作業を開始してください。
作成日でファイルを並べ替えると便利です。Web サイトがしばらく変更されていない場合は、最近のファイルを精査する必要があります。感染がいつ発生したかがわかっている場合は、この情報を使用してファイルを特定してください。
安全のために、デフォルトですべての PHP ファイルの実行を拒否し、承認されたリストにあるファイルのみを許可することができます。インスピレーションについては、こちらの私の回答を参照してください。「良い」ファイルのホワイトリストを作成するには、 でauto_append_file設定を有効にしphp.iniます。このファイルは、すべてのスクリプト セッション ( docs ) の最後に実行されます。ファイル内で、get_included_files関数を使用して、実行されたすべてのファイルのリストを取得できます。このリストをログに書き込んでから、Web サイトの感染していないすべてのページを参照すると、すべての正当な PHP ファイルのリストが得られます。それがあなたのホワイトリストです!! 取得したら、auto_prepend_file( にも設定php.ini) を使用して、そのリストに属さない PHP をブロックします。次に攻撃者が PHP スクリプトを実行しようとすると、auto_prepend_file常に最初に実行されるものはそれをブロックします。
ソフトウェアのすべての部分が攻撃対象領域を増やすため、未使用のプラグインをすべてアンインストールしてください。使用中のものをすべて更新します。可能であれば、自動更新を有効にします (私は Wordpress に詳しくありませんが、これは一般的に健全なセキュリティのヒントです)。