マルウェア感染したサーバーの復旧のご依頼を受けて作業を行いました。
今回はじめてDBにマルウェアが仕込まれている事例でした。
DBに仕込まれているマルウェアは<script>タグで埋め込まれているjavascriptでして、記事のデータやタイトルに埋め込まれていました。
バックアップから復旧すれば簡単ですが、5年近く更新されていないサイトのため、サーバーにDBのバックアップもありませんでした・・・
DBの感染箇所を見つけるのはDBまで対応したスキャンツールを使えば難しくないのですが、大量に出てきます。
もともと記事の数が10も無いのに何でこんなに出るのか?と思ったら投稿リビジョンだったので、リビジョンをすべて削除すると、現実的な数に減りました。
記事に埋まっているものはエディタで修正できますが、それ以外の部分はDBを直接修正する必要がありました。
どうにかすべて修正できたのでよかったですが、バックアップも無い状況で、大量に埋め込まれてしまったとしたらかなり面倒な事態になることは想像できます。
そうならないためにも、サーバーのバックアップだけでなく、サイトのバックアップも残しておいた方が安全です。
不正アクセスでサイトが改ざんされてお困りの際はぜひご相談ください。
