スパムポップアップを表示する悪意のある WordPress プラグイン:Injectbody / Injectscr

Last Updated: 2020 年 11 月 14 日 댓글

セキュリティ企業 Sucuriによると、最近の不要なポップアップを表示するスクリプトを注入するinjectbodyとinjectscrという悪意のあるプラグインに感染したサイトが増えているそうです。

この二つのプラグインは、同じようなフォルダ構造を持ちます。

Injectbody

WP-コンテンツ/plugins/injectbody/

  • njectbody.php:2146バイト(プラグインコード)
  • inject.txt:2006バイト(JavaScriptの挿入)

njectscr

WP-コンテンツ/plugins/injectscr/

  • injectscr.php:1319バイト(プラグインコード)
  • inject.txt:3906バイト(JavaScriptの挿入)

この二つのプラグインには、自分の存在を隠す関数が含まれています。 サイトが感染すると、隠されたinjectbodyプラグインが奇妙なスクリプトをサイトのページに挿入さになります。 injectscrプラグインも似たようなスクリプトを追加します。

リスクを減らすための措置

  1. いくつかの活性化されたプラグインは、管理者にも表示されないことがありますので、 WordPress 管理者インターフェイスだけを信じないでください、wp-content/plugin■フォルダを直接調べてはいけないフォルダがあることを確認してください。 wp-content/plugins/injectbody/ と wp-content/plugins/injectscr/ フォルダがある場合は削除する必要があります。
  2. ハッカーは WordPressにログインして、プラグインをインストールします。 したがって、ハッカーは、管理者パスワードを知っているか別の管理者ユーザーを作成したことがあります。 したがって、ハッキングを受けた場合は、次のような措置をとるようにします.2.1。 すべて WordPress パスワード(少なくとも、管理者アカウントでも)をすぐに変更します。
    2.2。 すべてのユーザーを確認します。 特に、管理者アカウントを注意して確認します。 次のユーザーは、必ず削除するようにします:INJECTBODY__ADMIN / INJECTSCR__ADMIN。
  3.  他のマルウェアに感染していないことを確認するようにします。 バックドアがないかも注意して確認します。

詳細と技術的な内容は、 Sucuriブログ記事を参考にしてみてください。

メモ:


コメントを残す

コメント