あなたのサイトは何者かに乗っ取られ、悪意あるプログラムが複数仕込まれていました。 攻撃者は主に2つのことをしていました。
さらに、攻撃者がサーバを自由に操作するための「裏口(バックドア)」が複数設置されていました。これがある限り、掃除をしても再び感染する恐れがあります。
Googleに「賭博スパムサイト」と判定されると、検索結果からの除外や警告表示の対象になります。長年積み上げたサイトの信用が下がる恐れがあります。
暗号資産ウォレットを使う訪問者が、すり替えページで資産を盗まれた可能性があります(主に検索エンジン経由でアクセスした人が対象)。
裏口が残っていると、攻撃者はいつでも侵入し直せます。他のサイトへの攻撃の踏み台にされるリスクもあります。
サーバ内のファイルやデータベースを覗ける状態だったため、管理者情報やFTP・DBのパスワードが盗まれた前提で対処する必要があります。
攻撃者は「誰が見に来たか」で表示を切り替えるクローキングという手口を使っていました。
default.php)+暗号資産を狙う罠を表示index2.php)を表示あわせて、攻撃者は自分のGoogle Search Consoleにあなたのサイトを勝手に登録しようとした痕跡(確認用ファイル5個)や、賭博ページを検索に載せるための偽サイトマップも残していました。
不正ファイルの作成日時から、侵入と改ざんは2026年6月28日〜7月1日に集中していました。
専門的な名前が並びますが、役割は「サーバを操る道具」「訪問者をだます罠」の2種類に大別できます。
| ファイル | 役割(かんたんに言うと) | 危険度 |
|---|---|---|
default.php | 賭博サイトの宣伝+暗号資産を盗む罠(すり替え表示の中身) | 高 |
index.php | 「誰が来たか」で表示を切り替える司令塔 | 高 |
…/tinymce/utils/cvs.php | サーバを自由に操作する裏口(コマンド実行・ファイル操作) | 高 |
…/lists/error_log.php | パスワード付きの不正な管理画面(ファイル改ざん用の裏口) | 高 |
…/lists/anesongalfa.php | 外部から追加の不正プログラムを呼び込むダウンローダー | 高 |
…/lists/bypass_ssi.shtml | PHPが無効でも動く別方式の裏口 | 高 |
google〇〇.html(5個) | 攻撃者がサイト所有権を乗っ取るための確認ファイル | 中 |
sitemap-adinda.xml / robots.txt | 賭博ページを検索に載せるための偽サイトマップと誘導設定 | 中 |
※ これらの裏口は、WordPress標準フォルダ(wp-includes/js/tinymce/=本来PHPプログラムがほぼ無い場所)に紛れ込ませてあり、発見を遅らせる工夫がされていました。
「掃除」だけでは裏口が残って再感染します。隔離 → パスワード全変更 → クリーンに作り直し → 再発防止の順で進めるのが鉄則です。
robots.txtを正常な内容に戻します。本報告書は、サーバからダウンロード済みのファイルを解析した結果に基づきます。サーバ上には解析対象に含まれない追加ファイルや、データベース内の改ざんが残っている可能性があります。最終的な安全確認は、サーバ実機での点検と全体スキャンをもって行ってください。