エックスサーバーで管理しているWordPressサイトにアクセスすると
pcにインストールされているesetが反応して以下の表示がされるようになりました。
JS/Redirector.SWD トロイの木馬
esetがインストールされていないpcでアクセスすると別のサイトへリダイレクトされてしまいます。
WordPressは最新にするように設定していましたが、プラグイン経由で感染してしまったのだと思います。
以下、試しましたが、復旧ができずにおります。
×エックスサーバーサーバーパネルのバックアップから復元
×エックスサーバーサーバーパネルのWordPress簡単インストールで削除と入れ直し
×ftpからWordPress本体をアップロード
また、public_html以下を全削除後、test.htmlを作成すると、自動的に空のWordPressのディレクトリが作られてしまいます。
なお、WordPressセキュリティ設定、WAF設定は全てONにしてあります。
どこに原因があるのか特定できない状態です。
一緒に管理している別ドメインは正常に動いてます。
どうか、皆様のお知恵をいただけますでしょうか。よろしくお願いします。
WordPressが不正アクセスの被害に遭った場合にそれを踏み台にしてどこまでできるかについて、正確なところは把握できていませんが、public_html以下を削除しても不審な動きを示す場合、以下あたりは見ておいたほうが良いかもしれません。
・サーバーパネルの「Cron設定」に不審なコマンドが登録されていないか
→ここに不正なコマンドが登録されていると、不正なコマンドが定期的に実行され、不正なファイルなどが延々と復元されてしまうかもしれません。
・不正なプロセスが稼働し続けていないか
→コマンドライン(SSH)で確認するか、サポートに問い合わせて確認してもらう方法があります。
・public_html以下にシンボリックリンクなどが仕込まれていて、ほかのディレクトリ(にある不正に設置されたファイルなど)が参照されていないか
→「public_html以下を全削除後」の消し方にもよりますが、「public_html以下のファイルをFTPですべて削除した」などの場合、権限の問題などから削除できていないかもしれません。これもコマンドラインから見るか、公式のサポートに問い合わせて確認してもらうとよいかもしれません。
・「正常に稼働している他のドメイン名」や「public_htmlより上のディレクトリ」においても、不正なファイルがないかをチェックしてみる
→エックスサーバーで同じサーバー契約の中に複数のドメイン名を設定した場合、各ドメイン名のディレクトリがおおもとのディレクトリ(ホームディレクトリ)を介してつながっています。攻撃者がエックスサーバーのディレクトリ構造を把握したうえで攻撃を仕込んでくるかはなんとも言えませんが、別のドメイン名などが実は不正アクセスの被害にあっていて、それ経由で問題となっているドメイン名のデータが書き換えられ続けている、といったことがあるかもしれません。
ご回答いただき、ありがとうございます。
まず、大変、お恥ずかしいのですが、ドメイン利用期限の到来により失効していたようです。
ドメインは普及したのですが、念のため、エックスサーバーに連絡して感染していないかどうか調査をお願いすることにしました。
大変、お手数をおかけいたしました。