ウェブで文章を書こう!
ワードプレス

「ビジターアンケート」対処は「.dt」削除でひとまず安心

この記事は約5分で読めます。

先日から複数のウェブサイトで「ビジターアンケート」「親愛な Chrome ユーザー様」系のハッキングをされてきました。今晩は数時間かけて原因追求と対処に翻弄されました。

いつも妻には「疲れるだけのワードプレスは辞めたら」と言われますが、書くことも機能を弄ることも楽しいので、いつも浮沈を繰り返しています。

「ビジターアンケート」「親愛な Chrome ユーザー様」の出現

本日は、大学の教え子に私のブログ記事を読んでもらおうと思ってURLをラインで送ったところ、次のような画像が返ってきました。私自身が自分のサイトに行こうとして、ちょくちょく出てきた馴染みの画像です…(苦笑)。

「ビジターアンケート」「親愛な Chrome ユーザー様」

こんな状況では、とても自分のサイトを他人に紹介できないと思い、ちょっと奮起しました。

症状についてはGoogle検索で「ビジターアンケート」「親愛な Chrome ユーザー様」と入力すると対処法が出てきます。けっこう丁寧な対処法を述べた記事がですので、今後の対処として検索結果に出ているサイトをご参照ください。

ビジターアンケート 親愛な Chrome ユーザー様
検索

それらのサイトでは、ウィルス駆除後の一部のPHPファイルの差し替えや、バックアップの必要性などが記されています。また、怪しいPHPファイルがの見分け方にも言及している記事もあります。

応急処置:目視で怪しいファイルを探す

さて、この記事で私がお伝えしたいのは、《ブログやデータベースのバックアップをしていないけど応急処置としてサイトを健全に表示させたい》場合です。

私はバックアップをしておらず、かつ頻繁にアンケート表示がされていたので、とりあえず数日間でも健全サイトに戻したかったのです。それでいろいろと検索で調べたのですが、根本的なウィルス要素を突きとめるには、多くの日本語ページでは「PHPの改ざん」を挙げています。

しかし、私の現状としては終わらない作業に思えたので、いきなりFFFTPソフトを使って、怪しそうなファイルを目視で探しました。

3つの怪しいファイルのうち確信犯を見つける

その結果気づいた3つのファイルがあります。

/wp-includes

  • class-wp-http-netfilter.php

/wp-admin

  • .default
  • .dt

です。

この3つのうち「wp-includes」の階層に入っている「class-wp-http-netfilter.php」の中身は猛烈に数字が並んでいます。理由は後述しますが、「Akismet Anti-Spam」が駆除対象としているスパム一覧のようです。要検証「class-wp-http-netfilter.php」

また「wp-admin」階層の「.default」はファイルサイズが5桁ですから少し大きい気もしますが、一旦パソコンにダウンロードして中身を見ますと、PHPなのですが、PHPファイルになっていないものです。やや怪しいファイルですが、ただ、このファイルだけ中身を調べると「config.php」あたりの記述に似ていて、「.default」はバックアップの意味を持つファイルかと思いました。「.default」も怪しいファイルです。

最後に怪しいファイルが「.dt」ファイル。これもダウンロードして中身を見ると先の「class-wp-http-netfilter.php」と同じように猛烈に数字が並んでいました。

補足です。2020年10月25日に「/admin/css」フォルダにも「.dt」ファイルが入っていることを確認しました。各フォルダに入っているわけではありませんが、まだどこかに残っているかもしれません…。ブログ表示速度は速くなったので、マシになってはいますが。

さらに補足です。Twitterでセキュリティについて教えて下さった方のセキュリティ用プラグインを導入して、サイト全体をスキャンしたところ、3つのサイトそれぞれ10~30個の怪しいPHPファイルや「.dt」「.default」が出てきました。駆除または停止をしました。完全駆除には有料となりそうで、悩みます。

2つに絞る

そこで、「class-wp-http-netfilter.php」と「.dt」をそれぞれ検索エンジンで調べると、前者・後者とも、英語表記のサイトがヒットしました。どうやら「dt hack」問題として知られているようです。ただ、英語検索をどのような単語の組み合わせでで行なったのを詳しくは忘れてしまったので、自分でお調べになる方は「.dt file hack」あたりの用語で調べてみて下さい。

とにかく私は「.dt」ファイルと「class-wp-http-netfilter.php」の何が違うのかを観察しました。すると、後者は削除しても削除しても数分おきに再生成されます。とんでもないウィルスを抱え込んだと思いました。

それに対し前者の「.dt」ファイルは固定です。そこで両方のファイルを削除してみると、「.dt」ファイルは消えたままになりました。そこで分かったのは、再生性を頻繁にされる「class-wp-http-netfilter.php」はジェットパック付属の「Akismet Anti-Spam」のファイルではないかということでした。

2020年11月3日補足

「.dt」を駆除できて再発しないとしてもadmin下にある「.default」、include下にある「class-wp-http-netfilter.php」とは連動しています。「.default」はPHPを装ったファイルで、この中身に「class-wp-http-netfilter.php」を始動させる文字列があります。どちらのファイルも駆除するべきなのですが、問題は再発生すること。その再発生をさせている元締めの駆除をやらないと、根本的な解決にはなりそうにありません…。

コメント 質問や感想をお寄せください♪

  1. […] […]

タイトルとURLをコピーしました