見慣れないファイル・バックドアがある
WordPressルートディレクトリやuploadsやwp-includes内に不審なPHPがある、改ざんが復活する等はバックドアの疑いがあります。全ファイル調査と侵入経路調査で根治します。
見慣れないファイル・バックドアがある
見慣れないファイル・バックドアがある
ドメインルートディレクトリやwp-includes、uploads配下に不審なPHPファイルがある場合、再感染リスクが高いです。
緊急:まず止血
1) 更新・投稿を停止 2) 現状をバックアップ 3) パスワード・鍵を一時ローテーション
1) 更新・投稿を停止 2) 現状をバックアップ 3) パスワード・鍵を一時ローテーション
よくある状態
- uploads内のPHP発見
- wp-includesの異常ファイル
- 定期的に復活する改ざん
よくある原因
- バックドア設置
- cron等での再生成
被害の背景
webshell(PHPバックドア)を設置し、任意アップロード・コマンド実行を可能にします。ドメインルートディレクトリ、uploads配下やテーマ内に偽装されることが多いですが、テーマやプラグイン、コアも含め深い階層に設置されることも珍しくなく、発見されやすいところにあるものだけを除去しても深い階層にあるものや、画像やcssなどを偽装したバックドアが引き続き動作する、というパターンが多くあります。
実際の事例
弊社対応例では、改ざん被害のほとんどで何らかのバックドアが見つかっています。フル機能型のバックドアファイルが設置されることもあれば、既存ファイル内にごくシンプルなバックドアが埋め込まれることもあります。また実体のファイルがないまま外部通信を継続しているパターンもあります。いずれにせよ、全数調査を行いサーバープロセスやcronなど再起動を促す仕組みや現在進行形で外部通信していないかのチェックも必要です。
放置した場合のリスク
再感染が常態化し、踏み台攻撃の発信元にされる恐れがあります。
専門家に依頼するメリット
最短1時間納品の即応体制と、ファイル/DB/画像を含む全数スキャン、侵入経路の是正、保証付きアフターケアで再発を防止します。実績に基づく標準手順で再現性高く復旧します。
推奨プラン
| ベーシック | 全ファイル比較+侵入経路調査、保証3か月。 |
|---|
当社の対応フロー
- 止血(遮断・アクセス制限・WAF)
- 全数スキャン/完全クリーニング(ファイル・DB・画像)
- バックドア/永続化の除去(cron/ユーザー/設定)
- 侵入経路の是正(必要時)
- 納品:再発防止策適用
納品物と保証
- 保証:ライト/Plus=2週間、ベーシック=3か月
再発防止
- 不要プラグイン削除・自動更新ポリシー
- 管理者最小化・SALTキー更新
- パスワード変更
- ファイルアクセス権設定、セキュリティヘッダー追加
- バックアップ/監視/WAFの常設
FAQ
- Q. バックドアとは? / A. 再侵入を可能にする隠し入口です。表面のファイル削除だけでは再発します。
- Q. 見つけたら削除で十分? / A. 単体削除では不十分です。全数比較と永続化機構(cron/ユーザー/設定)の除去が必要です。