wp-doctor.jp
Open in
urlscan Pro
59.106.27.183
Public Scan
URL:
https://wp-doctor.jp/blog/2019/02/22/%E3%83%AF%E3%83%BC%E3%83%89%E3%83%97%E3%83%AC%E3%82%B9%E3%81%A7ico%E3%83%95%E3%8...
Submission: On July 02 via manual from JP — Scanned from JP
Submission: On July 02 via manual from JP — Scanned from JP
Form analysis 2 forms found in the DOM
GET https://wp-doctor.jp/blog/
<form method="get" class="search-form" id="search-form-m" action="https://wp-doctor.jp/blog/">
<input type="search" class="search-field" placeholder="検索フォーム" name="s" id="s-m">
<button type="submit" class="search-button">
<div class="genericon genericon-search"></div><span class="screen-reader-text">Search</span>
</button>
</form>GET https://wp-doctor.jp/blog/
<form method="get" class="search-form" id="search-form" action="https://wp-doctor.jp/blog/">
<input type="search" class="search-field" placeholder="検索フォーム" name="s" id="s">
<button type="submit" class="search-button">
<div class="genericon genericon-search"></div><span class="screen-reader-text">Search</span>
</button>
</form>Text Content
Skip to the content
Toggle the mobile menu
Toggle the search field
* ワードプレス関連タスクの依頼や相談はこちらから
* 依頼フォーム
* 保守会員登録
* ブログ
* ナレッジベース
Search
* ワードプレス関連タスクの依頼や相談はこちらから
* 依頼フォーム
* 保守会員登録
* ブログ
* ナレッジベース
* WordPress Doctor ワードプレスの依頼/外注
* セキュリティ・脆弱性・マルウェア駆除
* ワードプレスでicoファイルに...
ワードプレスでICOファイルに偽装したマルウェアに感染したら?
投稿:2019年2月22日
投稿先 セキュリティ・脆弱性・マルウェア駆除
この記事のショートリンクを取得
下のリンクをコピーされてください
X
--------------------------------------------------------------------------------
<a href='https://wp-doctor.jp/blog/?p=5241'
target='_blank'>ワードプレスでicoファイルに偽装したマルウェアに感染したら?</a>
最近大きく猛威を振るっているicoファイルに偽装するタイプのマルウェアにつきまして、解説と対処法をご紹介いたします。
ワードプレスに感染するICOファイルに偽装するタイプのマルウェア
ワードプレスが勝手に他のサイトにリダイレクトしたり、サイトのヘッダーやフッターに不可解な文字列が表示されていたり、組み込んだ覚えのないJSファイルが読み込まれているなどの症状がある場合、ご注意ください。
下記のようなコードがワードプレスファイルの中に見つかったら、icoファイルに偽装するタイプのマルウェアに感染しています。
@include "7usr/0ome/ランダムな文字列.ico";
この短い書き込みは、ハッカーによるものであり、難読化されていますが特定のディレクトリにある.icoという拡張子の他のマルウェアを読み込むための命令です。
一般的に下記のようなファイルに見られることが多いです。
●wp-config.php
●あらゆるフォルダの index.php
●テーマフォルダの header.php、footer.php、single.php、page.php
参考記事
ハッカーがワードプレスサイトのファイルを書き換える(改ざん)方法を知ってセキュリティーを高めましょう
マルウェア本体であるICOファイル
Icoファイルは本来画像ファイルですが、多くのマルウェア検出プラグインでは検出から除外されるため、ハッカーはファイルが検出されないようにIcoに偽装してPHPのプログラムコードを隠しています。
@includeによる読み込み処理で、Icoファイルの内容をプログラムとして実行してハッカーが行いたい不正な活動をサイト上で行います。
Icoファイルの中身は一般的には下記のような内容でさらに難読化されて一見して何を行っているかわからないようになっています。
$_gow5jau = basename/*cab6*/(/*a7jhy*/trim/*fs4*/(/*1x*/preg_replace/*s2ot*/(/*9z*/rawurldecode/*7a*/(/*n*/"%2F%5C%28.%2A%24%2F"/*i*/)/*fi40*/, '', __FILE__/*pz2or*/)/*5*//*sq*/)/*sdxc*//*tz*/)/*rkadc*/
~文字列が続く
このプログラムの活動内容は多種多様ですが、サイトにアクセスしたユーザーをリダイレクトしたり、サイト上のリンクを置き換えて別のサイトに飛ぶようにしたり、といったような不正なリダイレクトである場合が多いです。
ICOファイルに偽装するタイプのマルウェアの検出と排除
ワードプレスドクター マルウェアスキャナー&セキュリティーをご利用いただくと、@includeでマルウェアを読み込んでいる改ざんと、Icoファイルに偽装した不正コードの本体双方を検出可能です。
@INCLUDE 文が検出された場合の対処方法
この書き込みはハッカーがマルウェアの本体を読み込むためのものですので
@include ~ ;
(@から始まり;で終わる一行)までをテキストエディタ―などで削除し保存しなおされてください
ICOという拡張子のマルウェア本体が検出された場合の対処方法
このファイルは本来ワードプレスにないファイルです。ファイルを開かれて難読化されたコードが書かれている場合はそのまま削除されて問題ございません。
WordPress のマルウェア駆除と、セキュリティー対策につきましてお気軽にワードプレス ドクターにご相談・ご依頼ください
関連記事:
1. ワードプレスindex.phpのマルウェア(ウィルス)感染事例
ワードプレスサイトに含まれるいくつかのindex.phpファイルに下記のようなコードがある場合マルウェア感染していますので要注意です。...
2. ワードプレスのテーマやプラグインにclass.plugin-modules.phpが含まれていたら要注意です
ワードプレスのテーマやプラグインで無料で入手できるものを利用されている場合、class.plugin-modules.phpというマルウェアが埋め込まれている事例が増加しております。...
3. ワードプレスが改ざんされたときに不正なJAVASCRIPTコードが埋め込まれるファイル10選
ワードプレスで作成したサイトが、アクセスすると別のサイトに飛んでしまう(リダイレクト)、リダイレクトハックのコードがよく埋め込まれるファイルについて解説いたします。...
4. ワードプレスマルウェア ls-oembedプラグインの被害が拡大しています
最近多数のお客様から同様のマルウェア被害についてのご相談が寄せられ、ワードプレスドクターで修正させていただいておりますのでこちらのマルウェアの排除の依頼事例についてご紹介させていただきます。
こちらの事例では共通して ls-oembedというプラグインが知らず知らずのうちにインストールされバックドアとなっているという共通点がございます。...
5. ワードプレス改ざんの復旧:5000件以上のハッキングされたワードプレスサイトのリストを発見
ワードプレスドクターのセキュリティー対策室にて、お客様のハッキング被害を修復する過程で、弊社では5000件以上のハッキングされたワードプレスサイトのURLを発見いたしました。この度はこの依頼事例からハッキングされたサイトリストを取得するに至った、顛末をご報告したく思います。
同一の手法による改ざん被害で、一度に発見されたワードプレスサイトの被害規模としては世界最大クラスかと存じますので公益性が高いかと考えまして事例を記載いたします。...
6. ワードプレスでハッキングされてしまうサイトの特徴8選
ワードプレスドクターで修復させていただいたサイト様でハッカーに侵入されてマルウェア被害を受けてしまったクライアント様で最も多かった特徴について解説させていただきたく思います。
こちらを元にしてセキュリティー対策を行われれば、ハッカーの侵入をかなり抑えることができるかと思います。...
ECPHPプラグインマルウェアリダイレクト改ざん
Wordpress ワードプレス ドクターBlog タグ一覧
*
*
*
*
*
*
前へ
ワードプレス:最も人気のあるタグリストをショートコードで表示する方法
次へ
Googleにワードプレスのページを更新(再クロール)してもらう方法
Search
ワードプレスドクターでは、Wordpress カスタマイズや修正、復旧、移行(引っ越し)、エラー修正等のご依頼お安く承ります。お見積もりは無料です。
ワードプレスドクター:マルウェアスキャン
プラグインはウィルスパターン定義データベースを利用して御社のワードプレスのファイルを内部からスキャン。マルウェアやウィルス改ざんの検査や駆除、除染、脆弱性検査ができる無料の高速スキャンプログラムです。
強力なマルウェア検出パターンで、PHP、HTML、JAVASCRIPT(JS)のコードやファイル、サイトURLからマルウェアが含まれているかをスキャンできる無料のオンラインサービスです。
*当サイトへのリンクはご自由にしていただいて構いません。また、引用元をリンクしていただく事、記事のテキストを一部しか使用されない場合は、このブログの情報は自由に転載されても問題ございません。
情報がお役に立ちましたらあなたのメディアから当サイトの記事をご紹介いただけると幸いです。
カテゴリー
* seo (29)
* WordPress (1)
* アクセス解析 (6)
* アップデート情報 (4)
* ウィジェット (2)
* エラー (54)
* カスタマイズ・修正 (352)
* セキュリティ・脆弱性・マルウェア駆除 (262)
* データベース (15)
* バグ・不具合 復旧 (158)
* プラグイン・テーマ (22)
* マルチサイト (6)
* レンタルサーバー (2)
* ログイン (5)
* 使い方 (82)
* 保守管理・更新 (17)
* 文字化け (1)
* 有料テーマ (2)
* 未分類 (1)
* 無料テーマ (2)
* 真っ白 (2)
* 移行・引っ越し (43)
* 管理画面 (4)
* 高速化・重い (12)
人気の記事
* 【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
* ワードプレスの投稿や固定ページが404(存在しない)エラーになる場合の対処方法
* ワードプレスのハッキングのときによくアクセスされるadmin-ajax.phpって何?
* ワードプレスの投稿やコメントの日付・時間を表示しない(消す)方法
* Wordpress ワードプレスのトップページ (フロントページ)を編集、修正する方法は?
* ワードプレスでwp-adminやwp-login.phpにリダイレクトループが発生したときの対処方法
* ワードプレスのブロックエディタのブロックの隙間を調整する方法
* ワードプレスでテーマのPHP編集機能(テーマの編集)がない場合の対処方法
* ワードプレスのエラーColumn count doesn't match value count at row 1 の原因と解消方法
ワードプレスドクター
Address: 東京都港区南麻布1−5−8
Email: wpdoctorsales@gmail.com
Business hours: 月曜日 – 金曜日: 9:00 am – 18:00 pm 日曜、祝祭日: 定休日
Company: 株式会社 BLUE GARAGE
適格請求書発行事業者登録済(インボイス対応)
▶ プライバシーポリシー
▶ 特定商取引法に基づく表記
© 2015-2024 «WP Doctorワードプレスドクター». All right reserved.