ホームページを作る人のネタ帳

Chromeがads.akeemdomへのアクセスブロック|既に10万超えのWordPressで広がるマルウェア

アクセス先のサイトで不正なソフトウェアを検出しました
先週から既に11000以上のサイトをブラックリストに追加したGoogle様ですが、実際はSoakSoakに感染しているWordPressのサイトが対象となっているようで。

上記画像は、GoogleChromeでそんなサイトにアクセスするとでるメッセージです。このクリスマスの忙しい時に赤いメッセージだなんて。

このマルウェアはどうやらRevSlider等の人気スライダープラグインの脆弱性を利用してアップグレードを促し、更新する際に侵入を試みるようでして、バージョンの古いものがターゲットとなっている。しかもプレミアムプラグインときたもんだ。
RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise | Sucuri Blog
SoakSoak Malware Campaign Evolves | Threatpost | The first stop for security news

ads.akeemdom.comへつなげようとしてる


wp-includes/template-loader.php
をひらいて、

function Func11()
{
wp_enqueue_script('json2');
}
add_action('wp_enqueue_scripts', 'Func11');

こんなのが追加されてたら「あぁ・・・」という具合です。

wp-includes/js/json2.min.js still loads the wp-includes/js/
の直下に以下のFlashファイルがあったらもうアウトということで。
swfobjct.swf

また、wp-includes/js/json2.min.js も改ざんされている可能性が高い。
Decode malware in json2.min.js
http://blog.sucuri.net/2014/12/soaksoak-new-wave-evolution-attacks.html

現在はこのプラグインも修正されているため、最新のものであるなら問題ないですが、実際に感染した場合、上記のファイルを修正してもバックドアを作られているというような話が多く、注意が必要みたいですね。

最悪バックアップのエクスポートから始まり、一度WordPressの再インストールからやる必要があるようで、なんともめんどくさい事この上ない。

正直GoogleWebMasterを使っても、本当ならメールで警告くるはずなんですが、なんの警告もしてこないし、セキュリティの確認をしてもなんの報告もしてくれませんでした。時間がかかるのかわかりませんが、サイトブロックするならそっちも合わせて知らせて欲しいもんですね。

皆さんは大丈夫ですかね?

それでは、また。
@yamada_nt
Posted by@yamada_nt
スポンサードリンク

Comments 0

There are no comments yet.

Leave a reply