人力検索はてな
モバイル版を表示しています。PC版はこちら
i-mobile

怪しいjsコードを埋められる被害にあっています。sys_engine000.phpというファイルが
いつの間にか内部に仕掛けられており、(000はその都度変わる)サイト内のinde.htmlファイルの
<body>タグ直下に怪しい長文のjsコードが仕掛けられ、仕込まれたページにGoogle Chromeでアクセスすると
「ウイルス感染のおそれがあるページにアクセスしようとしています」的な警告ページが表示され、
Googleのサイト検索結果にも同様なメッセージが表示され困っています。

jsコードを削除すると警告文は消えますが、一定時間経つとまた
同じようにindex.htmlのみjsコードが仕込まれてしまいます。

wordpress3-2-1を使っています。

ガンブラーを疑ったのですが、過去に同じ例がネット上で探せず、抜本的な対策ができていない状態です。
同様の被害を受けられた方、対処法をご教示下さい。

●質問者: soyuz11
●カテゴリ:インターネット ウェブ制作
○ 状態 :終了
└ 回答数 : 4/4件

▽最新の回答へ

1 ● fiwa
●25ポイント

Wordpress3.2.1には脆弱性が存在するそうですから、最新バージョンにアップデートするのがよろしいかと。使用プラグインもアップデータが出ていないか確認したほうが良いと思います。
Wordpress3.2.1の脆弱性を狙ったマルウェア - うさぎ文学日記

この記事にある例ではこんな感じのスクリプト(難読化されたiframe)が埋め込まれるらしいです。
http://labs.m86security.com/wp-content/uploads/2012/01/injected_code.png


soyuz11さんのコメント
ありがとうございます。 参考にさせて頂きます。

fiwaさんのコメント
改めて探してみたら、名前がsys_engineで始まるphpファイルを書き込まれる攻撃の話がwordpressのフォーラムに出ていますね。 [http://ja.forums.wordpress.org/topic/10317:title]

2 ● pretaroe
●25ポイント

sys_engine000.php のファイルの中をみて何をしてるかですが、
inde.htmlを探し出して、書き換えてるとかですか?

■暫定処置

sys_engine数字.php というのが分かっているので
PHPを実行される前にリダイレクトするとか

sys_engine数字を定期的に監視して削除するとか

inde.htmlに書き込みできないようにするとか
そういう対策をまずしては?

おそらく、何らかの経由で
sys_engine数字.phpファイルをおいて、このファイルを外部からキックするという仕組みのような気がするので・・。

もしそうなら、キックしたアクセスログは残ってる感じがしますがどうでしょうか?


■根本解決

>サーバーに当方のアクセス権限でFTPやSSHした履歴も
>残っていませんでした。

ファイルをおけるんだから履歴とかも削除できないのでしょうか?

まあ、その前に、
SSHはする必要はなさそうですし、FTPも使う必要はないかも。

sys_engine数字.php がどのディレクトリに配置されてるかにもよるでしょう。

Wordpress3.2.1には脆弱性を利用するのなら
WP関連のフォルダにおかれると思いますが、
しかし、WPはinde.htmlを使用しないので

こういう攻撃の仕方はしないのでは?

一つずつ可能性をつぶしていくしかないと思いますが・・。

http://q.hatena.ne.jp/answer


soyuz11さんのコメント
書き込み出来ないような対策は 書き込まれるhtml部分を逆に難読化することで 対応できましたが、根本的な対策ではない状態です。 症状に対しては対処できるのですが 侵入経路がまだ特定できておらず気持ち悪い限りです。

3 ● 日常P
●25ポイント

ウイルスでは?
http://uirusu.ne.jp


4 ● gizmo5
●25ポイント

Wordpress には、あまり詳しくないんですけど、root 権限を乗っ取るような脆弱性なんですかね。
そうだったら、もっと大騒ぎになってるような(w

侵入経路を特定して、穴をふさぐのは大切だと思います。
一番目の人が言うように、バージョンアップはしておいた方が良いとは思います。
それに時間がかかるようだったら、対処療法的なやり方ですけど、いくつか思いつきました。

・index.html の書き込み権限を外す
更新するときに、ちょっと面倒ですけど、書き込み権限を外しておけば、
root 権限以外からは、おいそれと内容の更新ができないんじゃないか、と。

・DirectoryIndex を一般的な index なんとかから、一般的じゃないのに変えちゃう
侵入してくるやつが、ありがちな index.html とかを狙ってくるなら、
変な名前のファイルに変えちゃうと、ちょっとしたガードになるんじゃないかなと思います。
http://linux.kororo.jp/cont/server/httpd_conf.php

関連質問

●質問をもっと探す●



0.人力検索はてなトップ
8.このページを友達に紹介
9.このページの先頭へ
対応機種一覧
お問い合わせ
ヘルプ/お知らせ
ログイン
無料ユーザー登録
はてなトップ