Google 検索および SERP 結果スパムからの偽の成人向け出会い系サイトのリダイレクト – WordPress、Magento、Joomla

Web サイトの訪問者が偽の成人向け出会い系サイトにリダイレクトされる、新しいタイプのリダイレクト マルウェアが出現しました。このマルウェア キャンペーンでは、何千もの偽のページが Web サイトに追加され、Google 検索によってインデックスに登録されます。 site: example.com で検索すると 次のような結果が表示されます:

このマルウェア キャンペーンは、エッセイ、薬局、出会い系サイト、ローン、メディア、悪意のあるダウンロード スパム サイトなどに偽のページとリダイレクトを追加することが知られています。

関連ブログ – WordPress リダイレクト ハック

Google 検索によってインデックス化されたリンクのいずれかをクリックすると、以下に示すような露骨なコンテンツとメッセージを含むサイトにリダイレクトされます。

ウェブサイトが感染しているかどうかを確認する方法

<オール>

作成していないページの Google 検索結果が多数あります

Google でウェブサイトのリンクをクリックすると、アダルト/ギャンブル/出会い系サイトにリダイレクトされます

知らないうちにウェブサイトに新しいページが追加された

不明な管理者ユーザーが管理者ダッシュボードに追加されました

あなたのウェブサイトはとても遅いです

Google Search Console から警告メッセージを受け取りました。

Drupal サイトでリダイレクト ハックを見つける方法

Drupal 7 に対するこのマルウェア ハッキング キャンペーンを調査しました 悪意のあるコードを特定することを難しくするために、ハッカーが洗練された技術を使用して巧妙にマルウェアを隠していることを発見しました.

Astra のマルウェア スキャナーでサイトをスキャンしたところ、includes/template.inc に疑わしいファイルが見つかりました。

さらに調査したところ、template.inc が ファイルが「Drupal レジストリ」に追加され、リクエストごとに自動ロードされるようになりました。構成値はデータベースにありました。

次のステップは、フラグが立てられたファイルのコードをデコードすることでした。具体的には getMimeDescription() 関数。

    public function getMimeDescription($documentDir) {
        $indicies=array(8, 5, 0, 1, 9, 4, 6, 7, 3, 2);
        $mimeMarkers=array('themes', 'Porto', 'loader1', 'light_rounded', 'prettyPhoto', 'all', 'images', 'prettyPhoto', 'sites', 'vendor');
        $mimeType='gif';
        $selecteds=array();
        foreach($indicies as $index) {
            $selected=$mimeMarkers[$index];
            $selecteds[]=$selected;
        }
        array_unshift($selecteds, $documentDir);
        $cachePath=join('/', $selecteds);
        return $cachePath.'.'.$mimeType;
    }
}

上記のコード スニペットが評価されると、アクティブな別の悪意のあるファイルへのパスが吐き出されます。

sites/all/themes/Porto/vendor/prettyPhoto/images/prettyPhoto/light_rounded/loader1.gif

gzinflate() を使用して収縮した文字列を膨張させた後 PHP の関数で、一部の base64 エンコードが発見されました。

上記のコードの難読化を複数レベルで解除した後、以下のスニペットでわかるように、真の悪意のあるコードが明らかになりました.

 $v266=array('essay','pharm','dating','loan','media','download');
 if(isset($this->v254['theme'])){
 $this->v12->t4("page theme: '{
 0
 }
 '",$this->v254['theme']);
 $v267=strtolower($this->v254['theme']);
 foreach($v266 as$v80){
 if(strpos($v267,$v80)!==false)return$v80;
 }
 }
 else{
 $this->v12->t4("page has NO theme. old dor");
 }
 return'default';
}
 function t170($v268,$v148){
 $v269=$this->v255->t147($v268['exit']['url'],$this->v254,$v148);
 return array('name'=>$v268['name'],'exit'=>$v268['exit']['type'],'url'=>$v269[00],'extparams'=>$v269[01]);
}

ウェブサイトが偽のアダルト出会い系サイトにリダイレクトされないようにする方法

偽の成人向け出会い系サイトのリダイレクトを完全に削除するには、Web サイトのファイルとデータベースをスキャンしてマルウェアを検出する必要があります。このハッキング分析でわかるように、ハッカーは複数レベルの難読化とコード隠蔽技術を使用してリダイレクト コードを巧みに隠しています。

マルウェアを自分で駆除する方法については、WordPress マルウェアの除去に関する完全ガイドを参照してください。

出会い系サイトのリダイレクトを防ぐためのセキュリティに関する推奨事項

<オール>

ウェブサイトを復元する必要がある場合に備えて、ウェブサイトのバックアップを取ります

CMS、プラグイン、テーマを最新バージョンに更新する

ハッキングの原因を特定してパッチを当てる

堅牢なファイアウォールでウェブサイトを保護

ファイルやフォルダに 777 のファイル アクセス許可を割り当てないようにします。フォルダーのアクセス許可を、フォルダーの場合は 755、ファイルの場合は 644 に設定します

未知の管理者ユーザーがバックエンドに追加されていないか確認してください

public_html フォルダ内のバックアップ ファイル (.zip、.sql、.tar など) をすべて削除します