「マルウェア」タグアーカイブ

WordPressが外部からの攻撃で nav-menu.php が書き換えられた場合の対処法

WordPressにマルウェアを送り込むソースを埋め込まれた時の対処法

JPCERT/CC や サーバーの管理会社から、下記のようなメールが届いた場合は要注意。

<div id=”zqtf” style=”display:none”>67 76 90auc 72 1-8 a7 bm,as4等の文字列が埋め込まれています。
※当該 URL を確認する際は、十分お気をつけください。確認する際は、
ブラウザのスクリプト機能を無効にするなど、影響ない環境で、
ご確認ください。
※上記は、http と :// の間を空けております。
※当該コードは Internet Explorer で確認しております。
同様の改ざんは WordPress や Joomla などの CMS を使用したサイトで確認
されており、”//istart” や “//iend” のような文字列が埋め込まれていまし
た。CMS に関連するファイルを一度ご確認願います。

でも、対応は簡単なので、すぐに対処しよう。

JPCERT/CCとは?

一般社団法人 JPCERTコーディネーションセンターの略で、簡単に言うと、セキュリティ関連の注意喚起をしている機関。

 
 

原因と攻撃の経路

これは、Wordpress 4.4系より前バージョンのセキュリティホールを狙ったものだ。もちろんサーバーの状況などにより、Wordpress4.3以前のバージョンでも攻撃されない場合もある。

ちなみに、ロリポップ、お名前.comは特に多くの被害が報告されている。

→ マルウェアを埋め込まれると、ブラウザでのデータのやり取りが外部に送信されるので、メールフォームなどを設置している場合は特に注意が必要。

簡単に特定でき、修正もできるので、被害が発生する前に対処しよう。

WordPressの場合
/wp-includes/nav-menu.php
/wp-admin/includes/nav-menu.php

この2種類のファイルが狙われ、ソースコードの中に //istart//iend というコードが埋め込まれてしまう。

acreport-cms_01

FTPソフトで、/wp-includes/nav-menu.php/wp-admin/includes/nav-menu.php の2つのファイルを確認し、 istart と検索して、該当があれば攻撃されている。

//istart から //iend までのソースを全て削除すれば、ひとまず脅威はなくなる。

その後、再度同じ被害にあわないように、WordPressを最新にアップデートしておくこと。

既にWordpressが最新の場合は、サーバーの設定に問題がある。

海外からの管理画面や、コアファイルへのFTPアクセスをを全て拒否する設定する。
管理画面にBASIC認証を設定する。

などの対策が有効。