WordPressで勝手にリダイレクトされた!マルウエアウイルスの対処やハッキングの原因を考える

このページたどり着いたあなたもハッキングで困っていると思います。ほんとに大変ですよね。気持ちわかります。私も困りました。この忘備録として残したページが役に立つことを願っています。

2019年5月25日の午前中に管理している10サイト中3つのサイトが突如知らないページへリダイレクトされる事がありました。

飛んだ先は主に下の二つのサイトを経由して、色々な広告が表示されてしまう。

ttps://clickjump.biz/

ttps:// kinonew.pro/

私が調べたことや対処法を録を残しています。

広告

ハッキングの原因はプラグインだった

yuzo related posts」というプラグインだった。

ちょいちょいアップデートされており、評価も高いけど作ったのが素人なのか脆弱性が問題視されているプラグインでした。セキュリディがガバガバのようです。

Technote」の記事で問題点が指摘されていました。

追記

Yellow Pencil」というプラグインもハッキング攻撃されたと公式で告知がありました。対処法も書かれていますので最新バージョンにして、対処してください。

※YellowPencilは自動アップデートに対応しておらず、通知も出ないため注意が必要です。

 

対処した過程

はじめに結論から書いておきます。

エックスサーバーにアクセスして感染前の状態に復元して解決しました。

「yuzo related posts」をプラグインから削除しました。

以上です。

まだ試していない方はぜひ試してください。

「サーバー名 復元」「サーバー名 バックアップ」

で検索すると大体の復元方法が見つかると思います。

あまり詳しくないので正しい対処法なのか確信は持てませんが、私の場合はなんとかなりました。

 

ここから下記は解決する前に試行錯誤した過程を書いています。当初はプラグインだと気づかず、色々と苦戦したので忘備録として残しています。

ハッキングの感染経路や原因を考察した過程

すべて無料でできますので、まだ試していない方はリンク先のサイトを一読してみると良いかもしれません。

SUCURIというサイトでマルウエア感染診断を行ったら、感染していると表示された。

⚫WordPressの改ざんやマルウエアが原因かなと思い「ワードプレスドクター」で紹介されていたマルウェアスキャンプラグインを導入して検査しましたが特に異常は出ませんでした。

⚫サイトのソースコードを改ざんされている可能性を考えてしば録さんのサイトを参考に「Wordfence Security」を導入して、不正なコードが無いか調べたが検知されなかった。

⚫各ページに見知らぬコードが埋め込まれているのではないかと考え「【ブログの始め方】WordPress講座」のサイトを参考に 「Wordfence Security」 で調べたが検知されなかった。

⚫そもそもPCが感染しているのではと考え、「イーセットスマートセキュリティ」(有料)でPC内のファイルをすべてスキャンしたが見つからなかった。

⚫ブラウザがハッキングされてグーグルクロームの拡張機能に何かしらインストールされているのではと考え「設定→その他のツール→拡張機能」内に怪しいのがないか調べたけど無かった。

⚫サイト内に怪しいscriptコードが無いか調べるために「ハンノマライフ。」のサイトを参考に調べてみたけど、難しくてよくわからなかった。

 

ハッキング感染経路を考える

感染経路は結局特定できていませんが、状況から可能性をまとめています。

 

サーバーにハッキングされて設定を変えられた可能性は?

今回は可能性は極めて低い。

エックスサーバーで2つのアカウントを持っていますが、Aのアカウントで5サイト中2つのサイトがハッキング。Bのサイトで5サイト中1つのサイトがハッキングされていました。

サーバーにログインされてしまったのなら登録してある全サイトがリダイレクトされていないとおかしいのかなと思う。

しかも、AとBが同時にハッキングされて、いくつかのサイトだけがリダイレクト設定されるのもなにかおかしい気がする。

 

総当たりでパスワードを突破されログインされてしまった?

今回は可能性は低い

セキュリティプラグイン「SiteGuard WP Plugin Page」でログインがあればメールで通知が来る設定にしている。5月25日に成功の通知が来なかった。

履歴を見たらめっちゃ攻撃されている形跡があった。5月16日に成功しているのは自分だった。

過去にオージス総研の「宅ふぁいる便」を利用したことある方は、お客様情報が漏れたと公式でアナウンスアリアました。オージス総研のIPから何度かアクセスがあったがログインはされていない。

ほかにアメリカからアクセスがあったが防いでいました。

 

ほぼ同時刻に行われた

2019年5月25日の午前中に3つのサイトが同時にリダイレクトされるようになりました。

複数のサイトを運営している方は全サイトチェックしたほうが良いです。

 

アクセス数は関係ない

アクセス数が多いサイトが狙われるのかと思ったら、全然関係ないみたい。

Aサイト:1日100PV

Bサイト:1日20PV

Cサイト:1日10000PV

アクセス数が多いサイトを狙っているわけではないようだ。

 

テーマが原因?

古いテーマを使っているとハッキングされやすいと聞いたことあるが、3つのサイトとも別々の有料プラグインで随時アップデートされているため可能性は低い。

 

復元で対処できたということはサイト内になにかされていた

1日前に復元することでもとに戻ったということは、サーバーとかではなくWordPressのサイト内に何かしら改ざんされていた可能性が高いと考えている。

エックスサーバーにログインされているなら、サイトを1日前に戻したところで解決しないよね?

 

一番怪しいのはプラグイン

長々と書いてきましたが、一番怪しいのはプラグイン経由ではないかと考えています。

古いプラグインやアップデートされていないのが原因かなと。ただ、30個ぐらい入れているけど特定が難しいのが困る。

一体どうやって入ってきたんだろうか・・・。

また何か動きがあれば追記します。

再び勝手にリダイレクトされた

2019年5月28日の明け方に前回と同じ3サイトが同時に勝手にリダイレクトされる様になりました。

こういうのってマルウエアって言うんですかね。

試しにと思ってプラグインを全削除したらリダイレクトがストップしました。

どのプラグインなのか特定するために一つずつ入れて有効化したけど、特定できなかった。

なんか時限式っぽい。時限爆弾っぽい。

というわけで、改めて復元してまたリダイレクトが始まったら今度はひとつずつプラグインを消していって特定しようと考えています。

Suggest Link