WordPressに仕込まれたマルウェアのコードが恐ろしすぎた
『Googleから「マルウェアに感染している」という警告が届いたので、調査して欲しい』という依頼を受けて、とあるサイトの調査をしたところ、どうやらWordPressにマルウェアが仕込まれている模様。 かなり時間を掛けて広範囲にヤラれていたので、マルウェアをすべて取り除くのに苦労したのですが、その際に見付けたマルウェアが中々恐しいものだったので、ここに書き残しておきたいと思います。 なお、真似してマルウェアを作られても困るので、ソースの一部を画像で載せることにします。 ## マルウェアのソースを人間に読めるようにしてみる では、早速マルウェアの中身を見てみましょう。 まず、いきなり始まるコメント行。そして、長くて一見ランダムに見える文字列。 そして2行目でランダムに見える文字列を base64_decode() し、eval() しています。base64_encode()しているのは、ソース
ja.reimageplus.comの広告表示を止める方法
ja.reimageplus.comの広告表示を止める方法 昨日に続き、マルウェア駆除の話です。 今回は、ja.reimageplus.comの広告のポップアップの削除方法です。 基本は、 Oiq.sandtypecaselinage.com のポップアップを削除する方法 と同じです。 ところが、 MalwareBytesとadwcleanerで検出&駆除を行い、パソコンを再起動、chromeのリセットを行ったのですが、なぜかポップアップ表示が再発します。 Chromeの設定を確認していると、Chromeの拡張機能の中に「GosavEnow」という、見るからにあやしい拡張機能があったので削除するのですが、Chromeを再起動すると、再び拡張機能に登録されています。んーーー。 そこで、Chromeの「設定」をよくよく確認してみたら、起動時に開くページの項目に www.search.ask.c
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
