いつの間にか内部に仕掛けられており、(000はその都度変わる)サイト内のinde.htmlファイルの
<body>タグ直下に怪しい長文のjsコードが仕掛けられ、仕込まれたページにGoogle Chromeでアクセスすると
「ウイルス感染のおそれがあるページにアクセスしようとしています」的な警告ページが表示され、
Googleのサイト検索結果にも同様なメッセージが表示され困っています。
jsコードを削除すると警告文は消えますが、一定時間経つとまた
同じようにindex.htmlのみjsコードが仕込まれてしまいます。
wordpress3-2-1を使っています。
ガンブラーを疑ったのですが、過去に同じ例がネット上で探せず、抜本的な対策ができていない状態です。
同様の被害を受けられた方、対処法をご教示下さい。
Wordpress3.2.1には脆弱性が存在するそうですから、最新バージョンにアップデートするのがよろしいかと。使用プラグインもアップデータが出ていないか確認したほうが良いと思います。
Wordpress3.2.1の脆弱性を狙ったマルウェア - うさぎ文学日記
この記事にある例ではこんな感じのスクリプト(難読化されたiframe)が埋め込まれるらしいです。
sys_engine000.php のファイルの中をみて何をしてるかですが、
inde.htmlを探し出して、書き換えてるとかですか?
■暫定処置
sys_engine数字.php というのが分かっているので
PHPを実行される前にリダイレクトするとか
sys_engine数字を定期的に監視して削除するとか
inde.htmlに書き込みできないようにするとか
そういう対策をまずしては?
おそらく、何らかの経由で
sys_engine数字.phpファイルをおいて、このファイルを外部からキックするという仕組みのような気がするので・・。
もしそうなら、キックしたアクセスログは残ってる感じがしますがどうでしょうか?
■根本解決
>サーバーに当方のアクセス権限でFTPやSSHした履歴も
>残っていませんでした。
ファイルをおけるんだから履歴とかも削除できないのでしょうか?
まあ、その前に、
SSHはする必要はなさそうですし、FTPも使う必要はないかも。
sys_engine数字.php がどのディレクトリに配置されてるかにもよるでしょう。
Wordpress3.2.1には脆弱性を利用するのなら
WP関連のフォルダにおかれると思いますが、
しかし、WPはinde.htmlを使用しないので
こういう攻撃の仕方はしないのでは?
一つずつ可能性をつぶしていくしかないと思いますが・・。
http://q.hatena.ne.jp/answer
書き込み出来ないような対策は
書き込まれるhtml部分を逆に難読化することで
対応できましたが、根本的な対策ではない状態です。
症状に対しては対処できるのですが
侵入経路がまだ特定できておらず気持ち悪い限りです。
Wordpress には、あまり詳しくないんですけど、root 権限を乗っ取るような脆弱性なんですかね。
そうだったら、もっと大騒ぎになってるような(w
侵入経路を特定して、穴をふさぐのは大切だと思います。
一番目の人が言うように、バージョンアップはしておいた方が良いとは思います。
それに時間がかかるようだったら、対処療法的なやり方ですけど、いくつか思いつきました。
・index.html の書き込み権限を外す
更新するときに、ちょっと面倒ですけど、書き込み権限を外しておけば、
root 権限以外からは、おいそれと内容の更新ができないんじゃないか、と。
・DirectoryIndex を一般的な index なんとかから、一般的じゃないのに変えちゃう
侵入してくるやつが、ありがちな index.html とかを狙ってくるなら、
変な名前のファイルに変えちゃうと、ちょっとしたガードになるんじゃないかなと思います。
http://linux.kororo.jp/cont/server/httpd_conf.php
ありがとうございます。
2012/05/19 14:37:21参考にさせて頂きます。
改めて探してみたら、名前がsys_engineで始まるphpファイルを書き込まれる攻撃の話がwordpressのフォーラムに出ていますね。
2012/05/23 20:39:43WordPress › フォーラム » [セキュリティ バックドア改竄]このコードの役割は?