サポート » 使い方全般 » iphone,ipadで海外サイトが表示されるマルウェア?

  • お世話になっております、

    製作中のサイトがPCでは通常表示されるのですが
    iphone,ipad(androidは手元になし)でURLに遷移すると
    何度かリダイレクトされて最終的に海外のサイトへ遷移してしまいます。

    サーバはさくらVPS
    SFTPのfilezillaでコードのアップロードなどを行っています。
    パソコン自体はマカフィーのアンチウィルスプラスが入っており、
    保護された状態、という表示が出ております。

    同じサーバ内に二つのサイト(ECcube)があり、
    片方は問題なくiphone,ipadで通常表示されます。

    ワードプレスでこれがウィルスなのか何なのか確認する方法について
    ご存知の方はおられますでしょうか?
    以前、phpファイル全てに不正なコードの記述をされたことがありますが
    今回はパッと見ですが発見できません。
    また、antivirusプラグインでチェックしましたが
    バックドアなどは仕掛けられておりません。

    緊急対応についてどのような手があるか、
    私も確認中ですが、どなたかご存知の方がおられたら教えて頂ければ幸いです。

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • モデレーター Takuro Hishikawa

    (@hissy)

    リダイレクトされてしまう原因を切り分けるため、ブラウザのJavascriptをオフにしてアクセスしてみましょう。転送されなければ、どこかにリダイレクトのJavascriptが書いてあるのでそのコードを出力している原因を探ります。

    Javascriptを切っても転送される場合は、PHPかサーバーが原因ですが、EC CUBEでは飛ばないとのことなので、前者でしょう。お使いのantivirusプラグインとは何でしょうか…?検知できてないのではないでしょうか。ひとつのスキャン方法は、サーバー上の全ファイルをダウンロードしてマルウェアを検知できるセキュリティソフトでそれらのファイルをスキャンすることです。試してみてください。

    以前に不正なコードを埋め込まれたことがあるということですが、同じサーバー・ドメインですか?その場合、以前の感染時にブラックリストに入れられている可能性もあります。

    モデレーター Takuro Hishikawa

    (@hissy)

    そうだ、マルウェアに感染しているかどうか Exploit Scanner でチェックするのが確実です。
    http://ja.forums.wordpress.org/topic/2743

    トピック投稿者 tkj_tkj

    (@tkj_tkj)

    hissyさん

    ありがとうございます!

    javascriptをオフにしても転送される状態でした。
    またやはり同一サーバ内のECcubeについては転送されませんので
    wordpressのPHPファイルの問題のようです。
    以前 不正なコードを埋め込まれたものとは別サーバ、別ドメインになります。

    antivirusとはこちらのプラグインになるのですが
    http://wordpress.org/extend/plugins/antivirus/
    バックドアが仕掛けられているかどうかを調べるものなので
    ひょっとしたら私の求めている目的のプラグインではないのかも知れません。

    WordPress Exploit Scannerを導入してみました、
    ありがとうございます。

    私のワードプレスのバージョンが3.4.2でしたので
    まだ日本語化ファイルが無いようですが
    プラグインをインストールしたところ

    Level Severe (91 matches)
    Level Warning (68 matches)
    という結果でしたが
    これはすなわち問題ありますよ?ということなのでしょうか?

    wp-content/plugins/akismet/akismet.php
    wp-content/plugins/contact-form-7/admin/admin.php
    など含むプラグイン関連が軒並み表示されておりました。
     ※他にもtemplateが軒並み表示されておりましたが。

    モデレーター Seisuke Kuraishi

    (@tenpura)

    hashes-3.4.2.php を上げました。リンク先のスキャンの実行手順でコアファイルだけですが改変されたファイルが分かります。結果に Modified core file という文字列がないか確認してください。

    トピック投稿者 tkj_tkj

    (@tkj_tkj)

    Kuraishiさま

    ありがとうございました。
    Level Warning (68 matches)の方はほぼ全て「Modified core file」という文字列が入っておりました。

    とりあえず、いったんファイルを全削除し、
    リカバリーをしてみます。

    それにしてもなぜマルウェアを埋め込まれたのかが
    分からないのが怖いですね・・・

5件の返信を表示中 - 1 - 5件目 (全5件中)
  • トピック「iphone,ipadで海外サイトが表示されるマルウェア?」には新たに返信することはできません。