運用中のサイトを整理中にセキュリティソフトに反応があったので調べてみると、
<?php @error_reporting(0); if (!isset($eva1fYlbakBcVSir)) {$eva1fYlbakBcVSir = … 中略 …$eva1tYidokBoVSjr = $eva1tYlbakBcVSir;} ?>
という長々と1行文で書かれたコードが、幾つかのphpファイルの行末に追加されていました。
もしかして、FTP情報が漏れてしまったのでは!?とも思いましたが、それなら、なぜこんな細かい仕込みなのだろうか…?
ということで、被害の状況を調べてみると、どうやら原因はWordPressのようで、バージョン3.1.1未満で稼働しているものがありました。
■WordPress におけるクロスサイトスクリプティングの脆弱性
対象はphpファイルのみで、同一管理内にある
index.php、header.php、footer.php、default.php
といったファイル名が対象のようです。
共有サーバー等でディレクトリ単位のマルチドメイン運用をしていると、被害対象以外のドメインにも及んでいる可能性もあるのでご注意ください。
(現に被害を受けてしまいましたが…T-T)
対策としては、やはり最新バージョンにしておくのが一番確実ですね。
ほか、パーミッションも見直して対策しておくのが吉かと。
余談ですが、
該当のファイル名でも文末に『?>』(もしくは/html>)の閉じが無いファイルには書き替えが行われていませんでした。
テンプレートのようなphpファイルでも文末に『<?php //』などを付けておくとちょっとは対策にはなるだろうか…
この記事へのコメント