最近、放置していたJoomla3のサイトでクラッキングが発生しました。不正ファイルが置かれて、メールの大量送付が行われXserverからwwwを止められました。

今回はAkeeba等のバックアップが無かったため、それを使わない方法で復旧させましたので、その手順をメモ代わりに書いておきます。

Xserverの場合クラックがわかるとサーバ側でwwwを止めてしまいますので、各種作業が出来なくなります。そこで、復旧の手順の一例を書いておきます。

1.すべてのサーバ上のファイルのダウンロード

これは、FTPないし、Xserverのバックアップ機能を使います。

2.最新のDBのバックアップ

phpMyAdminに入ってエクスポートしておきます。

3.Filezillaによる問題のファイルの検索

FileZillaにはサーバ検索という機能があります。この機能を使って、新しくサーバ上に作られたファイルを検索します。この際にはXserverから来た不正ファイルのリストというものが役に立ちます。問題のあるファイルのリストが来ますので、そのファイルの日付が手がかりとなり、その日付から1ヶ月程度前以降に変更されたファイルをすべて洗い出します。

その上でそのリストを画面キャプチャしてとっておきます。

その後、対象ファイルを検索画面から削除していきます。画像などは無視していいでしょう。(ただし、過去にJPEG画像に偽装した不正ファイルがExif情報エイリアに実行ファイルを潜ませるというタイプもありました。これは画像サイズが小さいのにファイルサイズに異常があったためテキストエディアてそのファイルを開いて発見しましたが・・・まじやめて欲しいですね）

4.除染後のファイルをもう一度バックアップ

除染されたファイルをまた一からローカルにバックアップ します。これで、除染前と除染後の比較が出来ます。

5.Xserverコンパネからドメインの初期化

Xserverの場合、ドメインの初期化というのが出来ますがここは注意が必要です。必ず　「ウェブ領域・設定の初期化」という形で初期化してください。じゃないとDBやメールまで削除される可能性があります。

6.除染後のファイルの再アップロード

これで基本は動くはずですが、動かなくても焦ってはいけません。もし、動かない場合は、Joomla本体のファイルを全部上書きしましょう。Joomla.jpからダウンロードします。

その際にinstlltionフォルダ xmlファイルはアップしないで下さい。それ以外のファイルをアップします。

7.サイトが見えるようになったら各エクステンションをアップデート。

勿論Joomla!自体もアップデートしてください。 administrator フォルダにBasic認証掛けるのも忘れずに。