概要
今回は、さくらサーバー内で運用されていた3サイトすべてに改ざん被害が確認された復旧事例です。
きっかけは、1サイトでWordPressの管理画面にログインできなくなっていたことでした。
調査を進めたところ、他の2サイトは一見ログイン可能な状態だったものの、サーバー内部には不正ファイルが多数存在しており、同一サーバー内の3サイトすべてで改ざんが発生していました。
ご相談内容
WordPressの管理画面にログインできなくなり、サイト内部に異常が起きているのではないかとご相談いただきました。
確認対象は1サイトから始まりましたが、同一サーバー内の他サイトについてもあわせて調査を行いました。
発生していた症状
- 1サイトでWordPress管理画面にログインできない
- 他の2サイトは一見ログイン可能
- サーバー内部に不正ファイルが多数存在
- 不正ユーザーが複数作成されていた
原因
確認したところ、原因は同一サーバー内3サイトのWordPress改ざんでした。
表面上は1サイトのみ不具合が出ているように見える状態でしたが、実際には3サイトすべてに不正ファイルが存在しており、被害が広がっていました。
また、今回はオリジナルテーマが使用されており、改ざん前の正常なテーマデータが残っていなかったため、通常より慎重な確認と復旧作業が必要な状態でした。
対応内容
- 同一サーバー内3サイトの設置状況とファイル構成を確認
- WordPress本体のシステムファイルを正常な新規ファイルへ入れ替え
- プラグインを正常な新規ファイルへ入れ替え
- オリジナルテーマ内部を隈なく精査しながら復旧対応を実施
- アップロード領域および画像フォルダ内を確認し、不正ファイルを駆除
- データベース内部の改ざん有無を確認
- 作成されていた不正ユーザーを削除
- 3サイトすべてに対して同様の調査・駆除・復旧作業を実施
対応結果
3サイトすべてについて、不正ファイルの駆除と必要な復旧対応を実施しました。
WordPress本体・プラグイン・テーマ・アップロード領域・データベースを確認し、問題箇所を一つずつ対応しています。
特に今回は、オリジナルテーマで改ざん前データが残っていない状態だったため、テーマも入れ替えではなく内容を精査しながら復旧しました。
同様の症状でお困りの方へ
WordPressで管理画面にログインできない場合でも、原因がログイン不具合だけとは限りません。
特に同一サーバー内で複数サイトを運用している場合は、1サイトだけでなく他サイトにも被害が広がっていることがあります。
表面上は一部だけの不具合に見えても、実際にはサーバー内全体の確認が必要になるケースがあります。
同様の症状でお困りの際はご相談ください。
