昨今当社マルウェア駆除のご依頼のクライアント様のサイトによく見つかるCore Stab(core-stab)もしくはTask Controller(task-controller)という新種のマルウェアについて解説いたします。
不正なプラグイン Core Stub
このマルウェアは、ワードプレスの脆弱性または管理画面のログインパスワードを破って不正にインストールされるもので、ワードプレスのwp-content/pluginsフォルダに下記のような名称で不正なプラグインのフォルダを作成いたします。
core-stab
task-controller
このフォルダ内のファイルは、下記のような構成になっています。
・index.php
・index.html
・front/front.jpeg
index.phpを開いてみると下記のようなコードになっており、front.jpegを読み込んでいることがわかります。
/*
Plugin Name: Core Stab
Plugin URI: http://wordpress.org/#
Description: Official WordPress plugin
Author: WordPress
Version: 12.7.1
Author URI: http://wordpress.org/#
*/
@include('./front/front.jpeg');
front.jpegは画像ではなく、テキストエディターで開くと下図のように不正なPHPコードを含むのがわかります。これがマルウェア本体です。
このマルウェアはバックドアと呼ばれ、ハッカーが外部からサイトの改ざんや不正なフィルの埋め込み、情報取得を可能とするものです。
管理画面ではCore Stabというプラグインとして表示されることもあります。
マルウェアへの対処方法
このような名称とファイル構成のプラグインがワードプレスサイトにある場合は、即座に削除されてください。
管理画面から削除できない場合は、ftpソフトウェアでサーバーに接続の上、手動でファイルを削除します。
また、このプラグインを埋め込まれたという事は、ほかにバックドアがあるか、プラグインに脆弱性があるか、管理者のパスワードが破られている可能性が高いため、マルウェア検査を行ったうえで、セキュリティー対策を行いましょう。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
WordPress ワードプレスのマルウェア駆除・セキュリティー対策を経験豊かな専門家が代行いたします。お気軽にご依頼・ご相談お送りください。
