【WordPress】「SID GIFARI」ウイルスにより不審なファイルが大量に設置された場合の対応

「SID GIFARI」ウイルスにより、WordPress上に不審なファイルが大量に設置された場合の対応を解説します。

SID GIFARIとは

「SID GIFARI」は、主にWordPressでの感染が見られるコンピューターウイルスです。
ウイルスプラグイン「sid」がアップロードされ、

  • WordPressのプラグイン一覧には表示されないが、「wp-content/puguin」ディレクトリ内に「sid」フォルダが生成され、アップローダ(シェル)等の不正なファイルが配置されている。
  • 「・htaccess」が書き換えられる。
  • 不正なアップローダにより「run.sh」「index.php」「new-index.php」「sidwso.php」「wp-info.php」「load.php」「style2.php」「class.php」「class.api.php」「angle.gif」「devil.gif」など、WordPressと関係ない不正ファイルが大量にアップロードされる。
  • 既存ファイルのパーミッション(アクセス権限)が書き換えられて、不正ファイルを削除できないようにしている
  • 「index.php」の中身が書き換えられ、正常な時と比べてファイルサイズが異常に大きくなっている。
  • 「wp-admin」ディレクトリ内のファイルが一部書き換えられている

感染後の対応①初期化とバックアップ

SID GIFARIは不審なファイルを大量にアップロードしたり、既存のファイルの内容(.htaccessなど)を書き換えたり、さらにアクセス権限を変更して正規のユーザーがファイルの修正をできなくしたりします。

感染後は、初期化(サーバー内の全ファイルを削除し、バックアップファイルから復元)することになります。

感染後の対応②初期化とバックアップ

バックアップを取っていない場合は、頑張ってウイルスを削除することになります。
ただし、SID GIFARIは不審なファイルを大量に生成するため、FTPソフトやファイルマネージャーでポチポチと不審なファイルを探して削除する方法だと生成速度に追いつかず、困難です。

そのため、SSHでサーバーにログインし、Linuxコマンドを叩いて不審なファイルを一気に削除する必要があるため、Linuxサーバーに関する一定の知識が必要です。

【補足】WordPressのディレクトリ構造

ディレクトリ 説明
/ WordPress本体のPHPプログラムが格納されている。「.htaccess」「index.php」「wp-config.php」以外のファイルは通常変更しない
/wp-includes/ WordPress本体のPHP関数、JavaScript、,CSSなどが格納されている。通常は変更しない。
/wp-admin/ WordPress管理画面用のPHPプログラム、JavaScript、CSSなどが格納されている。通常は変更しない。
/wp-content/ WordPressの流動性が高いデータが保存されている。
/wp-content/cache キャッシュデータが保存されている。
/wp-content/languages 言語サポート用のファイルが保存されている。
/wp-content/upgrade アップグレード時のファイルが保存されている。
/wp-content/themes テーマや子テーマが保存されている。WordPress管理画面(テーマエディタ)やFTP等でユーザーが変更することもある。
/wp-content/plugins プラグインが保存されている。WordPress管理画面(プラグイン設定画面)やFTP等でユーザーが変更することもある。
/wp-content/uploads 各種メディアファイル(画像、動画など)が保存されている。WordPress管理画面からメディアファイ

参考ページ

コメント