このブログ(WordPress使用)のテーマファイルの構成ってどうなってるのかな?と思い、themesディレクトリ内の各ファイルのソースをさっと眺めてみました。
最後にfooter.phpを開いてみると、そこには暗号化されたような文字列が並んでいました。
フリーのWordPressのテーマにマルウェアが仕込まれていて云々的な話はしばしばあるので不安に思い速攻で調査・対処したところ、結果的には何も問題なく
安心しました。
同じようにWordPress関連で難読化されたソースを見つけた方のために、またその作業内容を自分の備忘録的にまとめました。
Sponsored Link
このfooter.phpの内容はこれ。
<?php $str = 'Pz4gPCEtLSBiZWdpbiBmb290ZXIgLS0+DQoNCjxkaXYgaWQ9ImZvb3RlciI+PD9waHAgdGhlX3RpbWUoJ1knKTsgPz4gPD9waHAgYmxvZ2luZm8oJ25hbWUnKTsgPz4gLiAgV29yZFByZXNzIC4gPD9waHAgaWYoaXNfaG9tZSgpKSA6ID8+PGEgaHJlZj0iaHR0cDovL2VtYWlsc2VuZGVycHJvLmNvbS8iIHRpdGxlPSJCdWxrIGVtYWlsIHNvZnR3YXJlIj5CdWxrIGVtYWlsIHNvZnR3YXJlPC9hPjw/cGhwIGVuZGlmOyA/Pg0KPC9kaXY+DQo8L2Rpdj4NCg0KPD9waHAgd3BfZm9vdGVyKCk7ID8+DQo8L2JvZHk+PC9odG1sPiA8Pw=='; echo base64_decode($str); ?>
このソースをこんな手順でチェックしました。
●やったこと1 リンク先の確認
このテーマはフリーのものであり、フリーであることの対価としてフッター部分に外部リンクが埋めこまれています。
このリンク先はこのテーマファイルの使用を決める際に確認していたのですが、これを再度クリックして確認して、問題なしと判断。
●やったこと2 難読化ソースを解読
難読化箇所はどうやらbase64でエンコードされているようなので、取り敢えずデコードしてみるとこんなソースになりました。
?> <!-- begin footer --> <div id="footer"><?php the_time('Y'); ?> <?php bloginfo('name'); ?> . WordPress . <?php if(is_home()) : ?><a href="http://emailsenderpro.com/" title="Bulk email software">Bulk email software</a><?php endif; ?> </div> </div> <?php wp_footer(); ?> </body></html> <?
デコードにはデータ変換ツール(BASE64, URLエンコード(URLデコード), HEX(16進ダンプ), MD5, SHA-1変換フォーム)を使いました(使いやすいです!)。
ブログのフッターに出力されている通りの内容であり、特に不審なものではないと判断。
●やったこと3 プラグインでブログ全体をチェック
「本当にリンク先以外にコードに問題がないのか?」「他に怪しげなファイルはないか?」ということで、プラグインAntiVirusを使ってブログ全体をチェックしました。
ステータスは「All clear」なので問題なしと判断。
この難読化の措置はフッターの改変(リンク削除など)を妨げる目的でやっているのだろうけれど、いきなりこんなコードが出てきたら驚いちゃうなぁ。
非常に目立たない感じのクレジットでもあり、わざわざ改変の必要も感じないし、その気になれば僕のような初心者でも書き換えは簡単にできるので、こんな小細工はしない方がいいんじゃないかな、と思いました。
Sponsored Link