件名: トップページに怪しいソースが加えられてました!

投稿日: 11/17/17 11:16 PM JST
投稿者: kuro

お世話になります。 トップページに見知らぬコードが気がついたら追加されてたのですが、 いかにも怪しいです。 header.thtmlを調べてもそのような記述はなく、 実際のページのソースを見ると追加されています。 どうすれば、見知らぬコードを削除できますか?

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 01:13 AM JST
投稿者: kuro

ページが表示された際に headタグ内にjavascriptを読み込み、 スタイルシートも設定するように仕込まれているみたいなのですが、 どこに仕掛けがあるのかが、わかりません。 ご教授いただけると助かります m(_ _)m

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 01:19 AM JST
投稿者: kuro

何度も申し訳ありません。 ページが表示された際に headタグ内にjavascriptを読み込み、 スタイルシートも設定するように仕込まれているみたいなのですが、 どこに仕掛けがあるのかが、わかりません。 先の投稿にも書きましたが、header.thtmlを改ざんされたわけでもないようです。 Chromeのソースを見るではわかりませんが、Safariのソースを見るだとみれるもので、 Geeklogのレイアウトが3カラムの際に「left-center-right」とbodyタグに表示の際に追記されるみたいな感じで、 勝手に追記されてしまいます。 どこを見てやればいいのか、皆目わからず、、、 ご教授いただけると助かります m(_ _)m

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 10:51 AM JST
投稿者: Ivy

ごめんなさい、おそくなりました。 FixHTMLというのが、javascript/script.js で呼ばれています。 footer.thtmlの最後で、レイアウトのために呼んでいるんです。 これはGeeklogのレイアウト設定のための大事なJavascriptなので、はずさないでくださいね。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 11:33 AM JST
投稿者: kuro

お世話になります。おはようございます。 Ivyさん、ありがとうございます! なるほど!「fix_html.js」これで bodyタグにclass指定してるんですね。 多分、同様な方法なんでしょうか? これが、headタグの最後に表示されるんです。 どうも、ビットコイン系のサイトみたいな。 見えないファイルなどをアップロードされたりしてるんでしょうか? 対応策をアドバイスいただけないでしょうか? Safariの「ページのソースを表示」で「リソース」を見ると、 blob:http://www.◯◯.com/92bd09f8-f116-4c91-88d6-90009c81e564 と表示してました。う〜ん、ご教授願います m(_ _)m 申し訳ありません。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 11:37 AM JST
投稿者: kuro

何度もごめんなさい。 コード直接入力しちゃったから、消えてしまいました。 scriptタグで以下のURLを呼び出してました https://crypto-loot.com/lib/miner.min.js それが、、、head タグの最後に表示されるんです。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 11:49 AM JST
投稿者: Ivy

header.thtml, footer.thtml のほか、functions.phpも確認してください。 このファイルも重要です。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 11:50 AM JST
投稿者: Ivy

どのテンプレートから呼ばれているのか確定するために、コンフィギュレーションの、テーマ テンプレートファイルのコメントを表示する をONにしてみてください。 ファイルが勝手に書き換えられた可能性があるなら、サーバーのアクセスログで、あやしいアクセスを確認してみてください。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 02:42 PM JST
投稿者: kuro

Ivyさん、何度もおつきあいくださり、ありがとうございます! コンフィギュレーション、サーバログ、 重要ファイルをチェックしてみます! 本当にありがとうございます!m(_ _)m

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 02:52 PM JST
投稿者: kuro

お世話になります。すみません。今、siteconfig.phpの$_CONF['site_enabled'] = false;にしてるのですが、 この状態でコンフィギュレーションを操作して、サイトの状況を見たり調べたりとって出来ますか? 一般の方からは見れない形でGeeklogサイトの状態をチェックする方法ってあります?

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 07:57 PM JST
投稿者: Ivy

自分からだけ、みられるようにしてデバッグするとよいですよ。
IPアクセス制限を追加する
こちらをどうぞ!

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/18/17 09:19 PM JST
投稿者: kuro

Ivyさん、ありがとうございます! 早速やってみます!!m(_ _)m

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/20/17 04:44 PM JST
投稿者: kuro

いろいろとスイマセン。 いろいろ調べましたが結局わからず、 レンタルサーバのサポートでも対応できないということでした。 使ってるGeeklogのバージョンも古いままでしたので、 (だから改ざんされるだろ!って声が、、、スイマセン) バックアップをとって、 サーバとデータベースをサッパリして、 新しいバージョンでインストールし直そうと思います。 今は、Geeklog1.7なんですが、 一気に最新バージョンってアップ出来ますか? バックアップ方法 データベースを綺麗にする方法 などを教えていただけないでしょうか? 申し訳ありません。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/20/17 10:24 PM JST
投稿者: Ivy

一気に最新バージョン、おすすめします!
あらかじめプラグインをすべて無効にしてからデータベースを保存しておいてください。

それから、今のソースはすべてサーバーでリネームして保存。
新ソースをすべてアップロードして、TOPページを表示すると
インストール画面になりますので、インストールのアップグレードを実行してください。

パッケージは安心の本家版かJapanizeプラグインが追加された日本語版、あるいはプラグインを多用しているならivywe版が一度にアップできるのでおすすめです。

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/20/17 10:40 PM JST
投稿者: kuro

Ivyさん、ありがとうございます!
一気に最新版ですね!ただ、サーバのPHPが
現在使ってるWebARENA SuiteXは、5.1(もしかしたら5.3)なので、、、
一気に最新版は無理なのかもです?

あ、それと、ご報告が!
勝手に改ざんされる問題は解決しました!!!
home/javascript/common.js が改ざんされてることが見つかりました!!

でも、アップデートはしないと、、、と思っていますが、
プラグインがもう既になかったりするのか?それが気になります。
MediaGalleryだとか、navmanとか、CallendarJPとか
Geeklog2.1.3でもあるのでしょうか?移行できますか?

書込: トップページに怪しいソースが加えられてました!

投稿日: 11/20/17 11:45 PM JST
投稿者: Ivy

PHP 5.2.0以降が必要ですのでご確認を!

MediaGallery、CallendarJPは、ivywe版に同梱していますよ。/extended/ 以下を別途アップロードしてください。

Navmanは無いですが、おなじくdengenさんのCustommenuプラグインが同等の機能でアップデートされているのでどうぞ。これもivywe版に同梱しています。

Geeklog Japan - 掲示板
https://www.geeklog.jp/forum/viewtopic.php?showtopic=18928