怪しいjsコードを埋められる被害にあっています。sys_engine000.phpというファイルが

いつの間にか内部に仕掛けられており、(000はその都度変わる)サイト内のinde.htmlファイルの
<body>タグ直下に怪しい長文のjsコードが仕掛けられ、仕込まれたページにGoogle Chromeでアクセスすると
「ウイルス感染のおそれがあるページにアクセスしようとしています」的な警告ページが表示され、
Googleのサイト検索結果にも同様なメッセージが表示され困っています。

jsコードを削除すると警告文は消えますが、一定時間経つとまた
同じようにindex.htmlのみjsコードが仕込まれてしまいます。

wordpress3-2-1を使っています。

ガンブラーを疑ったのですが、過去に同じ例がネット上で探せず、抜本的な対策ができていない状態です。
同様の被害を受けられた方、対処法をご教示下さい。

回答の条件
  • URL必須
  • 1人5回まで
  • 登録:2012/05/18 19:16:43
  • 終了:2012/05/25 19:20:08

回答(4件)

id:fiwa No.1

fiwa回答回数1200ベストアンサー獲得回数2532012/05/18 23:04:33

ポイント25pt

Wordpress3.2.1には脆弱性が存在するそうですから、最新バージョンにアップデートするのがよろしいかと。使用プラグインもアップデータが出ていないか確認したほうが良いと思います。
Wordpress3.2.1の脆弱性を狙ったマルウェア - うさぎ文学日記

この記事にある例ではこんな感じのスクリプト(難読化されたiframe)が埋め込まれるらしいです。
http://labs.m86security.com/wp-content/uploads/2012/01/injected_code.png

id:soyuz11

ありがとうございます。
参考にさせて頂きます。

2012/05/19 14:37:21
id:fiwa

改めて探してみたら、名前がsys_engineで始まるphpファイルを書き込まれる攻撃の話がwordpressのフォーラムに出ていますね。
WordPress › フォーラム » [セキュリティ バックドア改竄]このコードの役割は?

2012/05/23 20:39:43
id:pretaroe No.2

pretaroe回答回数531ベストアンサー獲得回数752012/05/19 00:00:32

ポイント25pt

sys_engine000.php のファイルの中をみて何をしてるかですが、
inde.htmlを探し出して、書き換えてるとかですか?

■暫定処置

sys_engine数字.php というのが分かっているので
PHPを実行される前にリダイレクトするとか

sys_engine数字を定期的に監視して削除するとか

inde.htmlに書き込みできないようにするとか
そういう対策をまずしては?

おそらく、何らかの経由で
sys_engine数字.phpファイルをおいて、このファイルを外部からキックするという仕組みのような気がするので・・。

もしそうなら、キックしたアクセスログは残ってる感じがしますがどうでしょうか?


■根本解決

>サーバーに当方のアクセス権限でFTPやSSHした履歴も
>残っていませんでした。

ファイルをおけるんだから履歴とかも削除できないのでしょうか?

まあ、その前に、
SSHはする必要はなさそうですし、FTPも使う必要はないかも。

sys_engine数字.php がどのディレクトリに配置されてるかにもよるでしょう。

Wordpress3.2.1には脆弱性を利用するのなら
WP関連のフォルダにおかれると思いますが、
しかし、WPはinde.htmlを使用しないので

こういう攻撃の仕方はしないのでは?

一つずつ可能性をつぶしていくしかないと思いますが・・。

http://q.hatena.ne.jp/answer

id:soyuz11

書き込み出来ないような対策は
書き込まれるhtml部分を逆に難読化することで
対応できましたが、根本的な対策ではない状態です。

症状に対しては対処できるのですが
侵入経路がまだ特定できておらず気持ち悪い限りです。

2012/05/19 10:34:44
id:e7hjj800---ij No.3

日常P回答回数16ベストアンサー獲得回数12012/05/22 16:16:58

ポイント25pt

ウイルスでは?
http://uirusu.ne.jp

id:gizmo5 No.4

gizmo5回答回数484ベストアンサー獲得回数1382012/05/23 02:47:07

ポイント25pt

Wordpress には、あまり詳しくないんですけど、root 権限を乗っ取るような脆弱性なんですかね。
そうだったら、もっと大騒ぎになってるような(w

侵入経路を特定して、穴をふさぐのは大切だと思います。
一番目の人が言うように、バージョンアップはしておいた方が良いとは思います。
それに時間がかかるようだったら、対処療法的なやり方ですけど、いくつか思いつきました。

・index.html の書き込み権限を外す
更新するときに、ちょっと面倒ですけど、書き込み権限を外しておけば、
root 権限以外からは、おいそれと内容の更新ができないんじゃないか、と。

・DirectoryIndex を一般的な index なんとかから、一般的じゃないのに変えちゃう
侵入してくるやつが、ありがちな index.html とかを狙ってくるなら、
変な名前のファイルに変えちゃうと、ちょっとしたガードになるんじゃないかなと思います。
http://linux.kororo.jp/cont/server/httpd_conf.php

  • id:soyuz11
    >いつの間にか内部に仕掛けられており、(000はその都度変わる)サイト内のinde.htmlファイルの

    index.htmlの誤りです。すみません。
  • id:taknt
    パソコンがウイルスに感染してるんじゃないんですか? たぶん。
  • id:soyuz11
    PCにはセキュリティソフトが入っており
    スキャンの結果問題なしでした。

    サーバーに当方のアクセス権限でFTPやSSHした履歴も
    残っていませんでした。

  • id:papa-tomo
    wordpressのフォーラムで相談した方が良いんじゃないですか?

    http://ja.forums.wordpress.org/
  • id:soyuz11
    サイト全体がwordpressではないので…
    可能性として記載したまでです。
  • id:NAPORIN
    fc2などの無料サーバーを使っている場合、仕様としてサーバー側でトップページの冒頭にはカウンターのようなものを仕込んでくる場合がありますがそういうのと違うんでしょうか。

この質問への反応(ブックマークコメント)

「あの人に答えてほしい」「この質問はあの人が答えられそう」というときに、回答リクエストを送ってみてましょう。

これ以上回答リクエストを送信することはできません。制限について

絞り込み :
はてなココの「ともだち」を表示します。
回答リクエストを送信したユーザーはいません