V1.9.4 にアップグレードしても サーバーに悪意のあるファイルを埋め込まれ続けています

フォーラム バグ報告 V1.9.4 にアップグレードしても サーバーに悪意のあるファイルを埋め込まれ続けています

  • このトピックには7件の返信、3人の参加者があり、最後にdaiにより6年、 5ヶ月前に更新されました。
8件の投稿を表示中 - 1 - 8件目 (全8件中)
  • 投稿者
    投稿
  • #83985
    dai
    参加者

    V1.9.4 にアップグレードしても
    サーバーに悪意のあるファイルを埋め込まれ続けています。
    改変もずっと続いています。

    どうすればいいですか?

    ——————————————-
    WordPress のバージョン:バージョン 4.8.1
    Welcart のバージョン:Welcart 1.9.4
    Welcart専用の拡張プラグイン:WCEX Coupon
    ご利用のテーマ:Welcart Nova
    症状を確認したブラウザ:クロム
    サーバー:ロリポップ
    SSLの利用:なし
    WordPress のパーマリンク設定:投稿名(/sample-post/)
    ——————————————–

    #83989
    dai
    参加者

    こんばんは。

    2017年9月8日 7:51から、ずっと同じトラブルが続いています。
    辛いです。本当に辛いです。

    売上にも強烈な悪影響がでています。

    なんとかならないでしょうか?

    よろしくお願いします。

    #83996
    hika3ma
    参加者

    最初の改ざん時にバックドアを仕込まれているんだと思います。

    特にテーマ、プラグインフォルダに仕込まれていることが多いようです。
    一度、サーバー内の全ファイルを削除した方がいいです。

    WordPressインストール(新規データベースで)
    →wp-config.phpを今まで使っていたデータベースに変更
    →プラグイン等インストール
    という手順でクリーンな環境にしないと解決しないです。
    (実際、私も複数サイトを改ざんされ、バックアップからの復元だけでは改ざんされ続けました。)

    データベースは初期化しないので、ウェルカートの受注情報や各プラグインの設定情報は生かせます。

    テーマのカスタマイズ等をされているんでしたら、最低限のファイルだけバックアップを取り、1つずつファイルの中身を確認しながらアップしないといけません。
    画像などが入っているuploadフォルダは、画像データだけなのを確認して再アップすれば問題ないでしょう。

    大変ですが、頑張ってください。半日あれば終わりますよ!

    #83998
    dai
    参加者

    アドバイスありがとうございます。
    詳細な方法を知りたいです。

    サーバーにもさらに詳しく問い合わせてみます。

    IP制限を徹底した影響か、
    サーバーから謎の大量メール配信を検知される現象はおさまりました。

    しかし、削除した不審なファイルが、いつの間にか復活します。
    削除⇒現れる⇒削除⇒現れる 、この流れがずっと続いています。

    #84000
    hika3ma
    参加者

    詳細な手順はサイトの中身を知っている人にしかわかりません。

    初期化→再構築するのが一番はやい&安全です。
    バックアップから復元 = 不正ファイルも復元される可能性大です。

    ご自身でわからなければ、専門家に依頼するしかありません。
    サーバー会社もそこまでは面倒を見てくれませんし、今回の脆弱性はIP制限では対応しきれません。

    #84057
    dai
    参加者

    WordPressを初期化→再構築したところ
    顧客データ、受注データがすべて失われてしまいました。

    初期化するまえから、ウェルカートは管理画面から消えており
    顧客データ、出品データを、救出することができない状態でした。

    サーバー側が高負荷を感知して、突然、ウェルカートが管理画面から消えたため
    すべてのデータが出力できない状態でした。

    もう諦めるしかないのでしょうか?
    元の状態に復旧はできないのでしょうか?

    教えていただけると幸いです。
    よろしくお願いします。

    #84064
    yskysmr
    キーマスター

    こんにちは。

    サーバー会社より、不正なファイルをサーバー内に設置された旨のメールが来ていますでしょうか。(Welcart からのお知らせではなく、ご利用のサーバー会社からのメールです。)
    弊社でお調べいたしますので、レスキューナビのページの「不具合調査」よりご連絡ください。

    #84067
    dai
    参加者

    先程、不具合調査をお願いさせていただきました。

    ■サーバー:バリューサーバー

    サーバー会社から不正なファイルを
    サーバー内に設置された連絡はきていました。

    しかし、そのメールは私が異常を感じて
    質問したときに質問への回答として届きました。

    先方からのお知らせメールという形ではありません。

    事前の告知、当方への連絡がないまま
    サーバーへの高負荷対策として
    気付かないうちに、WordPressが真っ白に表示されていました。

    それに気づき、私が質問したところ
    その後に管理画面からウェルカートが消えました。

    データの出力が一切できない状態でした。

    サーバーから各種ファイルはダウンロードしたものの
    現在もサーバー会社からは、どうしようもない対応が続いています。

    不正なファイルがあるから
    サイトを再び閉鎖しろ!という連絡です。

    ※当初の質問では「ロリポップ」で運営中のサイトに異常がでていましたが
    そちらはサーバー会社に協力していただき、無事に復旧できました。
    ロリポップは素晴らしい対応をしてくださいました。

    お手数ですが
    不具合の調査をお願いしたいです。

    よろしくお願いします。

8件の投稿を表示中 - 1 - 8件目 (全8件中)
  • このトピックに返信するにはログインが必要です。