WordPressで「警告: 不正なソフトウェアが存在する可能性があります」が表示されたよ





普段webサーフィンしていて、たぶん一回くらいは、こんな画面に出くわしたことがあると思うけど、自分が管理しているWEBサイトのうち、2つでほぼ同時期にこの画面が表示されてしまったので、その時の対応を書くよ。

本文は、こんな感じ。
一つ目は「cssglobe.comのコンテンツが含まれています。」と表示されており、二つ目は「wiewkux.ruのコンテンツが含まれています。」であった。

警告: 不正なソフトウェアが存在する可能性があります

****には、不正なソフトウェアを配布していることで知られるcssglobe.comのコンテンツが含まれています。このサイトにアクセスすると、パソコンがウイルスに感染するおそれがあります。

このまま続行すると、不正なソフトウェアがパソコンにインストールされる可能性があります。過去にこのサイトにアクセスしたことがある場合や、このサイトを信用している場合でも、最近このサイトがハッカーによって侵害された可能性があります。今すぐこのサイトへのアクセスを中止し、明日もう一度お試しいただくか、別のサイトをご利用ください。
サイト上で検出された不正なソフトウェアについては既にcssglobe.comに通知いたしました。cssglobe.comで検出された問題の詳細については、Google のセーフ ブラウジング診断ページをご覧ください。

このまま続行する場合は、パソコンに損害を与える可能性があることをご理解いただいたうえで続行してください。

不正なソフトウェアの検出精度向上のため、この警告が表示されたサイトについての追加データを Google までお送りください。このデータは セーフ ブラウジングのプライバシー ポリシー に従って管理されます。

■現象

・Google Chromeでサイトにアクセスすると、上記の警告が表示される。
・上記の警告が表示されるのは、訪れるサイトがマルウェアに感染している疑いがあるとGoogleが判断した時。
・Google Chrome以外のIEとFireFoxでは、表示されない。
・Googleによるマルウェアの検出は、Googleウェブマスターツールに登録していれば、通知が来るのだが、ウェブマスターツールには「このサイトからマルウェアは検出されませんでした。」と表示されていて、問題なかった。

■原因

●1つ目のサイト
警告にあるように、以下のような「cssglobe.com」をホストに利用したjavascriptライブラリをロードしていた。

<script type=”text/javascript” src=”http://cssglobe.com/lab/easyslider1.7/js/easySlider1.7.js”></script>

●2つ目のサイト
以下のような、明らかに不正感まるだしなコードが混入されているファイルを発見。これを取り除いたら警告が消えたので、これが原因と断定。

コードを記載するのもあれなんで、画像で。
#d93065#で囲まれているところが、挿入された不正コード。

■対応

●1つ目のサイト
cssglobe.comからeasySlider1.7.jsを取得し、自サーバからロードするように修正。

●2つ目のサイト
不正コードを取り除く。
※キャッシュ機構を使っている場合、コードを削除したらキャッシュをクリアしてね!

■まとめ

マルウェア検出の警告が出た場合にやっかいなのは、どちらかというと「2つ目のサイト」の例です。

そのような場合の対応の手順は、サーバに乗っかっているファイルのタイムスタンプの一覧を取得し、直近に修正があったもののうち、明らかに更新した覚えがないファイルを手がかりに、不正コードが混入されていないか調査していくことになると思います。

Linuxのコマンドラインが使えるのなら、

find -type f -mtime -1 | xargs ls -al | less

とかを、ドキュメントルートあたりで実行すれば、直近に修正されたファイルとタイムスタンプが取得できるので、それを元に調査すればいいと思います。

■追記

不正コードを取り除くだけなら、根本的な対策になってなかった。

不正コードを取り除いた次の日に、また同じファイル(index.php)に不正コードが挿入されていた。WordPressで稼動しているサイトなのだが、WordPressの脆弱性突いてる?

と思って「wordpress 脆弱性 不正コード」でググッたら同様な事象が紹介されていた。

WordPressの脆弱性を狙ったPHPコード不正書き換えについて
テーマのindex.phpが書き換えられる(クラッキングされてしまう)

この埋め込まれた不正コードは何をしているか?
改ざんされたサイトに埋め込まれたマルウェアコードの解析
不可視の iframe タグを埋め込んでるらしい!

■真の対応策

・WordPress(使用しているCMS等)のバージョンを最新に保つ。
・WordPress(使用しているCMS等), phpmyadmin, FTP のパスワードを定期的に変更する。

手っ取り早く、

chmod 444 index.php

しておいたけど、効果でるか?

皆さんも気をつけてください。

いい感じ!


この記事が気に入ったら
いいね!してね

最新情報をお届けします!