Chromeがads.akeemdomへのアクセスブロック|既に10万超えのWordPressで広がるマルウェア
2014年12月25日 公開
先週から既に11000以上のサイトをブラックリストに追加したGoogle様ですが、実際はSoakSoakに感染しているWordPressのサイトが対象となっているようで。
上記画像は、GoogleChromeでそんなサイトにアクセスするとでるメッセージです。このクリスマスの忙しい時に赤いメッセージだなんて。
このマルウェアはどうやらRevSlider等の人気スライダープラグインの脆弱性を利用してアップグレードを促し、更新する際に侵入を試みるようでして、バージョンの古いものがターゲットとなっている。しかもプレミアムプラグインときたもんだ。
RevSlider Vulnerability Leads To Massive WordPress SoakSoak Compromise | Sucuri Blog
SoakSoak Malware Campaign Evolves | Threatpost | The first stop for security news
ads.akeemdom.comへつなげようとしてる
wp-includes/template-loader.php
をひらいて、
function Func11()
{
wp_enqueue_script('json2');
}
add_action('wp_enqueue_scripts', 'Func11');
こんなのが追加されてたら「あぁ・・・」という具合です。
wp-includes/js/json2.min.js still loads the wp-includes/js/
の直下に以下のFlashファイルがあったらもうアウトということで。
swfobjct.swf
また、wp-includes/js/json2.min.js も改ざんされている可能性が高い。
http://blog.sucuri.net/2014/12/soaksoak-new-wave-evolution-attacks.html
現在はこのプラグインも修正されているため、最新のものであるなら問題ないですが、実際に感染した場合、上記のファイルを修正してもバックドアを作られているというような話が多く、注意が必要みたいですね。
最悪バックアップのエクスポートから始まり、一度WordPressの再インストールからやる必要があるようで、なんともめんどくさい事この上ない。
正直GoogleWebMasterを使っても、本当ならメールで警告くるはずなんですが、なんの警告もしてこないし、セキュリティの確認をしてもなんの報告もしてくれませんでした。時間がかかるのかわかりませんが、サイトブロックするならそっちも合わせて知らせて欲しいもんですね。
皆さんは大丈夫ですかね?
それでは、また。