[MODx] ページにSPAMリンクを埋め込むマルウェア

長らく運営しているMODxベースのサイトがマルウェアに感染していた。見つけたのはホント偶然で、何気なくブラウザでページソースを表示してみたら、ページ末尾にSPAMリンクらしきものが埋め込まれいるのを発見。以前にも感染したことがあって、そのときはGoogleからのメールで知らされた。2度目となるとさすがにショックは隠しきれない。ネットを検索したらドンピシャの事例を見つけたので、それに倣って対処する。

MODxのバージョン

MODx Evolution 1.0.15。これは現時点の最新版。だけど、最新版がそう易々とマルウェアに感染するとは思えないので、もしかして以前に感染したときに駆除しきれずに残っていたのかも。以前の対処ではMODxを最新版にアップグレードしたんだけど、もしマルウェアがDBに仕込まれていたとしたら、駆除しきれずに残っていた可能性もある。

症状

MODxが生成したページの末尾に以下のようなSPAMリンクが埋め込まれる。

原因

マルウェアの挙動をするプラグインが仕込まれていた。DBのmodx_site_pluginsテーブルに追加されている「Quick ManagerManager」というプラグインがそれ。

対処

  1. データベースから該当プラグインのレコードを削除する。
  2. assets/cache/のコードをオリジナルに戻す (マルウェアによって書き換えられているため)

参考サイト

MODx Evolution: removing spam links | Dae’s blog
http://dae.me/blog/1697/modx-evolution-removing-spam-links/