最近ファストコメット(FastComet)でホストされている WordPress サイトがマルウェアに感染し、ホスティング会社からサイトがブロックされ、マルウェアを削除し、クラウドウェイズ(Cloudways)にサイトを移行する作業をクライアントが依頼してきました。
このタスクは単にマルウェアを削除した後 WordPressを移転する作業を考えましたが、キム・スキが作ったマルウェアに関連していると把握され、ここに共有してみます。退屈な内容でもご了承くださいませ😄
参考までに ファーストコメットは Bluehostと同様のレベルのコスパ比の良い海外ホスティングです。 Bluehostはアメリカのサーバーだけを提供しているため、韓国では遅く、ユーザーの苦情が多いです。ファーストコメットは東京サーバーを提供するので、韓国で速度がある程度大丈夫です。ファーストコメットに似たレベル ケミクラウド(ChemiCloud)の場合、ソウルサーバーを導入し、韓国でのスピードが速いです。
キム・スキ(Kimsuky)攻撃グループが作ったマルウェア
ファーストコメットはマルウェアを検出し、そのサイトへのアクセスをブロックします。ライブチャットに連絡すると、マルウェアを削除するためにユーザーのIPアドレスでサイトにアクセスできるようになります。
一般ユーザーがサイトにアクセスしようとすると、下図のように403 Forbiddenエラーが発生します。
cPanel情報を受け取り、そのサーバーに接続してみました WordPressとは関係のないフォルダが作成されていました。
上の図では、wp-で始まるディレクトリ以外は通常のディレクトリではないようです。
- attachfile
- mokozy
- ncorp
- 公共
- 部屋
- totmem
上記の項目で特に注意して見る必要があるフォルダはmokozyです。このフォルダには次のファイルが含まれていました。
ファイルは2023年9月に作成されたようで、少なくともこの時点でサイトがマルウェアに感染しているようです。
最初は、これらのファイルが必要かどうかわからず、バックアップを試みてダウンロードしようとしました。ところでアンラップウイルスプログラムでマルウェアとして認識してファイルをブロックしました。
後で実際にはありませんが、結論として、これらのファイルは悪名高い北朝鮮のキムスキ攻撃グループが作成したと推定されるマルウェアです。
これに関連して、アンラップ分析チームはコイン取引所と投資関連の内容で偽装したマルウェアを発見し、動作方法を詳しく説明した記事を掲載しました。要約すると、次のようになります。
このマルウェアは実行可能ファイルとWord文書の形で広がり、ドキュメントを開くと悪意のあるURLからスクリプトを実行するか、VBAマクロが含まれてユーザーがコンテンツをアクティブにするように誘導されます。これにより、マルウェアがダウンロードされたり、データが盗まれたりする可能性があります。特に、このメールには、本物の文書のように見える自己抽出アーカイブファイルが含まれており、ユーザーが速やかな方法で構成されています。このタイプのマルウェアは特に注意する必要があります。
マルウェアに感染したMS Word文書または実行可能ファイルを実行すると、サーバー上のmokozyフォルダの下のPHPファイルを呼び出して実行されます。
ファーストコメットは独自のマルウェアスキャンシステムを備えており、定期的にマルウェアをスキャンしますが、1年以上このマルウェアを検出できなかったようです。
メモとして、コンピュータがマルウェアに感染し、マルウェアがサーバーにアップロードされる可能性があります。だから SiteGroundサイトサイトにマルウェアが見つかった場合はサイトをブロックし、ユーザーがマルウェアを削除すると、ユーザーのコンピュータにマルウェアがないことを証明しなければサイトブロックを解放します。
マルウェアの削除とサイト移行
マルウェアに感染してサイトがブロックされた場合は、ホスティング会社に連絡して自分のIPアドレスを教えてください。 IPアドレスは Naverで「私のIP」を検索すればすぐに確認が可能です。
ホスティング会社がそのIPアドレスに対してブロックを解除した場合 WordPressに接続が可能です。ただし、プラグインをインストールしたり、無効にしたり、削除したりするなどの操作は権限の問題のため許可されません。
私 FTP経由で接続して怪しいファイルをスキャンして削除した後にダウンロードしました。そして、DBはphpMyAdminにアクセスしてダウンロードしました。ファーストコメット cPanelのを提供するので、cPanelにログインしてphpMyAdminにアクセスできます。
悪意のあるコードをすべて削除したら、データとDBを使用して新しいホスティングに移行できます。クラウドウェイズの場合は、新しいアプリケーションを作成し、サイトを回復してドメインを接続できます。
可能であれば、以前の前のサーバーのPHPバージョンと以前の後のサーバーのPHPバージョンとを一致させる必要があり、サイトの復元後にエラーが発生する可能性が低くなります。
ファーストコメットでPHPバージョン7.4が適用されていました。
クラウドウェイズで作成されたサーバーのPHPバージョンも7.4でした。
ファーストコメットやクラウドウェイズでは、PHPのバージョンを簡単に変更できます。変更後にエラーが発生した場合は、以前のPHPバージョンに戻すことができます。これに対して Cafe24では、PHPのバージョンを7.4からPHPの8.2バージョンに置き換えるにはサーバーが変更されているため、バックアップと復元のプロセスが必要になり、非常に面倒です。
マルウェアはデータとDBの両方でチェックして削除し、可能であればサイトを最新バージョンに更新する必要が再発する可能性が低くなります。
サイト移行後のサーバーダウン
サイトを移行し、マルウェアをチェックしてマルウェアが存在しないことを確認しました。そしてクラウドウェイズ マルウェアからの保護 ページにもマルウェアが見つかったという警告は表示されませんでした。
数日間はうまくいきましたが、突然サイトがダウンし、サーバープロバイダが利用規約に違反する疑わしい活動でサーバーを一時的にブロックする問題が発生しました。見てみると、mokozyフォルダの下にある特定のPHPファイルへの過度の接続が発生し、サーバープロバイダはこれを疑わしい活動と見なしてサーバーを停止しました。
mokozyフォルダを含む奇妙なフォルダはすべて削除された状態でした。おそらく、マルウェアに感染したコンピュータでmokozyフォルダの下にあるファイルを実行しようとすると、それはサーバーベンダーが怪しい活動として検出したようです。
以下のコードを追加して、mokozyディレクトリから始まるパスにアクセスできないようにしました。
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteRule ^mokozy/ - [F,L]
</IfModule>
上記のコードを追加すると、そのディレクトリで始まるURLにアクセスしようとすると、403 Forbiddenエラーページが表示されます。
すべての疑わしいファイルは削除され、DBから悪意のあるスクリプトがあるかどうかをチェックして削除したという返信があったため、半日後にサーバーのブロックが解除されました。
最後に、
WordPressセキュリティに強いが WordPress、テーマ、プラグインのアップデートを無視したり、セキュリティ慣行を無視したりすると、セキュリティが悪化し、サイトがハッキングされたりマルウェアに感染したりする可能性があります。 PCもウイルスなどのマルウェアに感染しないように注意してください。電子メールで送信された疑わしい文書をむやみに開くと、コンピュータはマルウェアに感染します。 WordPress サイトハッキングやマルウェア感染につながる可能性があります。
マルウェアを含む WordPressウェブホスティングの問題で苦労している場合 ここでサービス(有料)をご依頼することができます。
この記事を読んで、ウェブサイトのセキュリティについてもう一度考えます。マルウェアに感染したら本当に大変です。ファーストコメットで問題が発生したのは驚きです。私もサイトを運営していてこんなことは避けたいです。クラウドウェイズへの移行が良いことを願っています。これからはもっと注意すべきです。
このブログでは常にバックアップを強調しています。
そして、サイトを最新バージョンに保ち、セキュリティプラグインをインストールすれば安心できます。