Imunify360で検知されたWordPressのマルウェア駆除と復旧手順

「 Mail delivery failed: returning message to sender」「Your email could not be delivered」というメールが大量に来たという相談。調べてみると、運営しているWordPressサイトがマルウェアに感染しているようでした。

はじまり

  • 「Mail delivery failed: returning message to sender」というメールを大量に受信した
  • 運営しているサイトが見れなくなっている

との相談。

受信したメールを確認すると、WordPress を入れている ColorfulBox から「[重要] セキュリティチェックのお願い」というメールも届いていた模様。

管理サイトで、ColorfulBoxからの連絡内容をまとめると、

  • マルウェア感染していて、送信者を詐称したSPAMメールを大量に発信しているので、緊急処置としてサーバーを凍結している。
  • 対策で、.htaccessを書き換えている。
  • サーバー上のWordPressを削除、再インストールして。

とのこと。

感染状況

Imunify360のログ

Imunify360(ColorfulBoxで使われているLinuxサーバー用のセキュリティシステム)で検知された場所は、未使用のtwentynineteenテーマ内のcolor-patterns-widget.phpで、マルウェアの名称は「SMW-INJ-CLOUDAV-php.bkdr-NP12-5」 となっていました。

これは、「バックドア」で、外部から自由にサーバーを操作される状態だったようです。

メールの内容

正規のinfo@のメールアカウントの認証を突破して、銀行を装ったフィッシングメールを送信していたようです。

復旧作業

検出されていないマルウェアが残っている可能性があるので、以下のような作業内容です。

  • WordPressのバックアップ
  • WordPressは完全に削除
  • WordPressを新規インストール
  • プラグインなどもバックアップから戻さず新規インストール
  • データベースとアップロードファイルだけ戻す
  • 設定など確認

パスワード変更

WordPressやメールサーバーのパスワードを一斉変更

WordPressのバックアップ

バックアップには、「UpdraftPlus」というWordPressプラグインを使用しました。

念の為すべてのファイルをダウンロードします。

以下の設定も記録、

  • プラグインの一覧
  • テーマ名
  • テーブル接頭辞
  • .htaccessの内容

念の為

  • パーマリンク設定のメモ
  • functions.php / style.css の「自分で追加したコード」だけをメモ
  • ウィジェット設定のスクショ

さらに念の為

  • wp-config.php の内容をメモ
  • カスタマイザーの設定内容のスクショ
  • サーチコンソールやGA4の認証コード

WordPressのアンインストールとインストール

cPanelのApplicationからWordPressを削除。

削除が完了したら、同じく Aplications から、WordPressをインストールします。

テーマとプラグインの新規インストール

使っていたテーマとプラグインを、バックアップからは戻さずに新規インストール。

データベースとアップロードファイルのリストア

データベースとアップロードのみリストア

確認

復元したサイトをいろいろ触ってみて、おかしいところが無ければOK

まとめ

細切れの作業だったけど、かなり時間がかかりました。

不要なテーマやプラグインは消して、アップデートも定期的に。

その他