マルウェア感染したWordpress環境の復旧作業がほぼ完了しました!
不具合起票風にナレッジ共有していきます( ´ ▽ ` )ノ
【現象】
1つのロリポップサーバで複数ドメインを用いたWordpress環境がマルウェア感染により、全サイト表示できない(403)
また、Wordpress管理画面にもアクセスできない
【期待する動作】
全サイト正常表示させたい
【調査した結果】
★今回の環境に関する調査結果です。
すべての環境がこうなっているわけではない点に注意。
・いたるところに不正な.htaccessファイルが生成されている。
・いたるところにアクセス権限000の不正なファイルが生成されている。
・index.phpなどが破壊されている
⇒サイトアクセス(index.phpへアクセス)すると、上記不正ファイルが生成される模様
・DBは正常に見える
・プラグイン、テーマは正常に見える
・バックアップは一切なし
【対策してみたこと】
・不正なファイルを削除、正常なWordpress環境からphpファイル移植
⇒トップページ含め一部ページは表示されたが、リンク先が不正なページ置き換わるなど意図しない動作を確認
・新しいWordpress環境を構築し、インフラを操作してDB、プラグイン、テーマを再現
⇒復元できた模様
【考察】
・DB、プラグイン、テーマが汚染されていなければ、インフラ操作によって復旧は可能。
・操作の前後やファイルダウンロード時など適宜スキャンはしていたが、サンドボックスを使えばよかった。(存在は知っていたが、使ったことはないので、後で調べてみる)
・パスワード管理含めWeb環境について全面見直し