10/29に書いた件のその後。
バックドアは駆逐できたみたいです。とりあえず今の時点では。
【方法その1】マルウェア対策のプラグインを使いました。
Anti-Malware Security and Brute-Force Firewall
使い方はググってください。インストールして手動でスキャンするのですが、改ざんされたファイルを見つけてくれます。すごいのは、その場で、Anti-Malwareの管理画面内で仕込まれたコードを消すことができる点。
この機能を知らない時は、改ざんファイルが表示されたらいちいちFTPでそのファイルを開いて目視で消していたので、この機能を知ったときは狂喜乱舞しました。
それで楽しくて、朝・昼・晩・寝る前という感じで、暇さえあればスキャンしていたら、あるとき、ぱたっと改ざんが止まりました。
【方法その2】ディレクトリやファイルのパーミッションを変えました。
WordPressのディレクトリやファイルのパーミッションをどう変えるかはググってください。
私がやったのは、WordPressが入ってないディレクトリ、たとえばエックスサーバーのデフォルトのディレクトリみたいな初期状態のままのディレクトリも、WordPressが入ってないからだいじょうぶって思って放置してたけど、変なファイル設置されてたので、パーミッションを適当に711とかにして、403エラー出して置いときました。
実際、ハッカーがどんな方法で侵入してるか分からないけど、素人でもできる対策としてパーミッションの変更はアリかなと思います。
【まとめ】パーミッションをキツくした上でAnti-Malwareする
Anti-Malwareは、全体をスキャンするとかなり時間がかかって途中で止まることもあるけど、根気よくやるのが良いです。
今も、不審なURLをたたいて404になってるアクセスがかなり多くて、アクセス解析をみると世界中からアクセスされているのが分かって、もちろん全部やばいアクセスなので気持ち悪いし、止まるといいなぁと思うけれども、とりあえず来ても侵入してなかったら被害なしって思って、今もほぼ毎日スキャンはしています。
あとSiteGuardのログイン履歴と、Slimstatというプラグインでアクセス者のログが見れるので、それもときどき、見ています。
以上、不正侵入されたエックスサーバーのその後の状況報告でした。
