mixhostでウイルス感染
先日mixhostでウイルス感染された。ウイルス感染かどうかもわからないなど困った方もいらっしゃると思うのでこちらに私が行った対策を書く。
結果としては新しいサーバーに移動することになるのだが、移動する前にウイルス駆除を行ってから移動しないと他の方にも迷惑がかかる可能性があるので手順をしっかり守って行ってくれ。
なおこの記事は1アフィリエーターが書いており専門家執筆ではない。実施は自己責任で行うように。またウイルス対策後も自分でしっかりと自己管理してほしい。
mixhostウイルス感染。
大量ドメインが汚染状態になっていた。サーバー14個中2個が汚染。(両方ビジネスプラン)複数ドメイン無造作に入れるのは危険。ホワイトサイト、大切なサイトは綺麗なサーバーに入れるのが吉。
明日大掃除だ。#本日の学び
— オーラン(岩永 圭一)@守備範囲が広いwebマーケター (@domain_orank) November 6, 2019
ワードプレスへのウイルス感染の原因と対策
原因
- ワードプレスの脆弱性(ぜいじゃくせい)をつかれる
- ワードプレスのパスワードを破られる
今回のケースとは別に、DoS攻撃という故意にサーバーにトラフィック過剰負荷を与えサーバーダウンさせて脆弱性を攻めるケースもある。
対策
- ワードプレス本体を常に最新に保つ
- プラグインを最新に保つ
- 安易なパスワードを使用しない
- セキュリティプラグインを入れる
- ワードプレス公式プラグイン以外を使用しない
- サーバーを変える
変更先のおすすめレンタルサーバーは
conoha
エックスサーバー
あたり。追加契約する場合も自己アフィリがあるので忘れずに。
mixhostが悪いのか?
と言われると分からない。
ただmixhostは
- 収納ドメイン数無制限
- アダルト運営が可能
- アフィリエイトサイトが多い
という特徴のためウイルスの温床になりやすいと想像できる。
サーバー障害が起きたときも障害情報に上がらなかったり、サポートに連絡が取れないなど不安材料があるのも事実である。
アフィリエイトサイトは複数サイト運営が当たり前なのでテーマ更新やプラグイン更新まで手が回らない、という方が多いだろう。そうしたサイトは脆弱性が出やすいためウイルス攻撃の対象となる。
今回私がウイルス感染していたサーバーにもワードプレスをVer5に上げていなかった(プラグインも更新なし)サイトが多く見られた。
ウイルス感染の症状
海外サイトにリダイレクトされる
↓実際に感染サイトを開いたときの画像
サイトにアクセスすると、海外サイトにリダイレクトされて様々な画面が表示される。
・あなたのパソコンはウイルス感染しています(音付きで焦る)
・おめでとうございます。○○が当選しました(喜べない)
など見たら一発でウイルス感染したことがわかる。
上記画面表示にはアクセス1回目しか表示しないパターンと常に表示するパターンがある。
ウイルスファイルが仕込まれる
ドメイン直下にランダムな文字列のphpファイルが生成される。
海外サイトにリダイレクトされない場合でも潜伏している可能性もある。
同サーバー内ドメインに感染する
ウイルスは一つのサイトに感染すると、同じサーバーに入っているサイトへ次から次へと広がっていく。
他のユーザーには感染していなかった
mixhostは共有サーバーのため、自分以外にも同一サーバーに同居しているわけだが今回同じサーバーの同居サイト45サイトを目視したところ感染は一つも確認できなかった。他の人に迷惑がかからなくてよかった・・・。
同一サーバーすべてに感染したら今頃はもっと大騒ぎになっているだろう。
ただし同じサーバー内にいる方にいつ迷惑がかかるかわからないのでウイルス感染が確認できたら直ぐに対応するべきだ。
ウイルス感染の確認方法
ファイルマネージャーで確認する
サーバー管理画面のファイルマネージャーで直接ウイルスファイルがないか確認する方法。
プラグインWordfence Securityで確認する
サイトにアクセスするのは控える
サイトにアクセスして気づくことが大半ではあるがウイルスが入ったサイトには不用意にアクセスしないほうがいいだろう。
ウイルス駆除方法
今回私が感染したバックドア型ウイルスの場合の対策を書き留めておく。
全体の流れはこうだ。
- サイトバックアップを取る
- ウイルスファイル駆除
- ワードプレス本体更新、プラグイン更新
- 新しいサーバーを準備
- migrationプラグインで引っ越し
- 元サーバーを解約
- ウイルスファイル監視
サイトバックアップを取る
- All-in-One WP Migrationプラグインをインストール。
- サイトのmigrationデータをエクスポート。
- 自分のパソコンへダウンロードする。
プラグインWordfence Securityでウイルス駆除
ウイルスを確認したら、Wordfence Securityプラグインをインストールする。
インストール後プラグインを起動するためにはメールアドレスの入力が必須
メニューのScanを選択する
START NEW SCANを押してウイルススキャンを実行する
実行すると、下にウイルスファイルがリストアップされるので、下画像のボタン2つを押してウイルス駆除を実行する。
ファイルマネージャーでウイルスファイルを削除(非推奨)
今回のウイルスはWordfence Securityプラグインで駆除できたが、万が一ウイルスファイルが残っていると困るので、ファイルマネージャーでウイルスファイルの場所を確認する方法も書いておく。
mixhost管理画面からファイルマネージャーにアクセスする
設定ボタンを押す
設定画面で、非表示のファイルの表示(dotfiles)にチェックを入れる
ウイルスファイルその1(dotファイル)
ドメインフォルダ直下に仕込まれた隠しファイルのウイルス。
ウイルスファイルその2(phpファイル)
同じくドメインフォルダ直下にあるランダムな名前のphpファイルたち。これらも一掃する。
直下で必要なphpファイルは
index.php
wp-xxxx.php(wpから始まるファイルは全て必要)
xmlrpc.php
だ。間違って削除しないように気をつけてほしい。
ウイルスファイルその3(phpファイル)
cgi-binフォルダ内のindex.php ウイルスファイルなので削除
.well-knownフォルダ内のindex.php、同じ階層のpki-validationフォルダ内のindex.php ウイルスファイルなので削除
ウイルスファイルその4(wp-config.phpファイル)
ウイルス記述を削除
ドメインフォルダ直下のwp-config.phpをファイルマネージャーの編集で開いて上画像のような記述があれば該当テキスト箇所を削除。
ファイル属性を変更
ファイルを右クリックしてChange Permissionsを選択。400に変更。(できなければ600)
ウイルスファイルその5(wp-cron.phpファイル)
ウイルス記述を削除
ドメインフォルダ直下のwp-cron.phpをファイルマネージャーの編集で開いて上画像のような記述があれば該当テキスト箇所を削除。
ドメイン引っ越し
同じレンタルサーバーに引っ越しする場合(例:mixhost→mixhost)
元サーバーからドメイン削除
まずはドメイン削除を行う前にワードプレスログイン情報を忘れずにメモしておこう。
ウイルス駆除を行いmigrationファイル(.wpress)をダウンロードしたら、サーバー管理画面(mixhostの場合はcPanel)からドメイン削除を行う。
ドメイン削除するだけなら、サイトのファイル・データベースは削除されない。
ワードプレスデータとファイル群をそのままにしてドメイン削除だけ行えば、万が一、引越し先でサイト復元に失敗したときに元のサーバーに戻すことができるぞ。
新サーバーにドメイン追加
mixhostの場合は、アドオンドメインでドメイン名を追加する。元サーバーからドメイン削除を行ってすぐにドメイン追加が可能だ。
新サーバーのドメインにワードプレスをインストール
該当ドメインにワードプレスを新たにインストールする。サブドメイン(www有無)やSSL化は元ドメインのときと同じにする。インストール時にはログイン情報を元ドメインと同じに設定しておくといい。
migrationで復元
All-in-One WP Migrationプラグインをインストールして元ドメインのmigrationデータをインポートする。
元サーバーを解約
全てのドメインを引っ越しして問題が出なければ元サーバーは解約手続きを行う。
今後行うべき対策
バックアップを定期的に取る
放置サイトはワードプレス自動更新を行う
大切なサイトと放置サイトは別々のサーバーに収納
サーバーに多くドメインを入れすぎない
(mixhostの場合)サイト一覧を非表示にする
