ワードプレスドクターでのマルウェア駆除依頼事例にて消しても1秒以下で復活するindex.phpに寄生するタイプのマルウェアの対処方法について解説いたします。
なぜマルウェアがすぐに復活する?
すぐにマルウェアが復活する原因は、いくつか考えられます。
1 バックドアがサイト上のどこかに存在し、ハッカーがそのバックドア経由で再びマルウェアを書き込んでいる
2 サーバーそのものがハッキングされPHPではないサーバーレベルのソフトウェアが再びマルウェアを書き込んでいる
ただ、今回の事例では上記も可能性もあるものの、共有レンタルサーバーであること→2 である場合レンタルサーバーの全サイトが改ざんされるためそこまで危険な事例である可能性は低い、1だとあまりに早くマルウェアが復活するため、人為的に再改ざんしているとは考えにくい、と弊社では考えました。
Index.phpに感染するすぐに復活するマルウェアのコードの例
$O00OO0=base64_decode("ランダムな文字列が続く");$O00O0O=$O00OO0{3}.$O00OO0{6}.$O00OO0{33}.$O00OO0{30};$O0OO00=$O00OO0{33}.$O00OO0{10}.$O00OO0{24}.$O00OO0{10}.$O00OO0{24};$OO0O00=$O0OO00{0}.$O00OO0{18}.$O00OO0{3}.$O0OO00{0}.$O0OO00{1}.$O00OO0{24};$OO0000=$O00OO0{7}.$O00OO0{13};$O00O0O.=$O00OO0{22}.$O00OO0{36}.$O00OO0{29}.$O00OO0{26}.$O00OO0{30}.$O00OO0{32}.$O00OO0{35}.$O00OO0{26}.$O00OO0{30};eval($O00O0O(
....
ゆえに、すぐに再改ざんが発生するマルウェアは下記のような動作をする可能性も考えられます。
3 マルウェアそのものが、アクセスされるたびに再改ざんのプログラムを自己復元的に実施する
このプログラムの実行が、常にサーバーのプロセスにたまっていて、改ざん部分を取り除いても、たまっているプロセスが実行されて再改ざんがすぐに起こると考えると高速で再改ざんされる理由がわかります。
自己復元型マルウェアの駆除方法
この場合、駆除は難しくなりますが、弊社では下記の方法で再改ざんを止めることが多くの場合可能になると思います。
1 PHPプログラムの実施(実行)そのものをいったんサーバー側で止める
2 PHPの実行自体がサーバーでできなくなる(停止する)とマルウェアの自己復元ができなくなる
3 FTPで正規のファイルと入れ替える
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご相談ご依頼はワードプレスドクターまでお気軽にお送りください
