gotosecond2[.]com, adsformarket[.]com, admarketlocation[.]com,admarketresearch[.]xyz.の読み込みからいわゆるアンケート詐欺へ至る、悪意のあるjavascriptを読み込ませる改ざん事例が相次ぎおおよそ2000サイトが感染しているとsecuriが発表しました。

Malicious JavaScript Used in WP Site/Home URL Redirects

WebRepairでも同様の事例からの復旧を行っています。

主な特徴としては、CSSなどへのリンク切れから起こるデザインの大幅な崩れや、管理画面にログインできないなど。

wp_optionsテーブルのsiteurl、home、またping_sitesに

や、

 といったURLが埋め込まれ、またページや記事といったコンテンツ、リビジョンなど、wp_postsテーブル内にも数十種類の外部jsファイルを呼び出すリンクが大量に埋め込まれています。

このため、原則としてSQLクエリを実行して復旧していくことになります。

 のようになっていて、example.com の部分は様々なドメイン名となっています。

securiではプラグインの脆弱性をついた別の手法が解説されていますが、WebRepairではその事例のほかにsearchreplacedb2.phpの削除忘れによるDB改ざんの事例も観測しています。

この事例はsearchreplacedb2.phpを削除しても、それは一番最初の改ざん被害の入り口となるものがなくなったに過ぎません。

DB内がすべて改ざんされいますから、すべてクリーニングする必要があります。

またファイル改ざんも同時に発生しており、ファイルのリネームによる画像データの破壊などが見られます。

DB、ファイル、画像と広範な復旧が必要な事例であり、かつ同様の改ざん被害が日本語サイトでも大量に発生している事例として今回取り上げました。