昨今よく見られるワードプレスに埋め込まれるマルウェアのタイプをいくつかご紹介いたします。同様のコードがサイトのプログラムに含まれる場合は、ワードプレスがハッキングされて改ざんされていることが疑われます。


1 ランダムな文字列のコメントに挟まれた@include文

この改ざんはワードプレスのindex.phpやwp-config.php等ワードプレスのコアファイルに多く見られる改ざんのタイプです。
具体的には下記のような改ざんとなります。

/*ytju6dyr

@include(/home/www/***********/.sd87ywernaksj.mo);

/*ytju6dyr

INCLUDE文の上下のランダムな文字列は、マルウェアの本体が改ざんが取り除かれていないかを調べるための識別子となります。
また、この改ざんでは@include でもしファイルが取り除かれていてもエラーを出さない形で、マルウェアの本体である.sd87ywernaksj.moを読み込んでいます。
つまりマルウェアの本体は .sd87ywernaksj.mo となります。ファイルの最初に.がついているとLinuxでは不可視ファイルとなりますので、このマルウェア本体のファイルは一般的なファイルの表示方法では見えないファイルとなっています。

2 atob、もしくはString.fromCharCodeを使用したJAVASCRIPT

このマルウェアはデータベースの投稿や、テーマの全頁で読み込まれるHeader.phpやFooter.phpによく見られる改ざんで、ほとんどの場合、サイトを別のサイトに飛ばしてしまうリダイレクトハックのコードとなります。

具体的には下記のような改ざんとなります。

document.write(atob(英数文字列));
document.write(String.fromCharCode(数の配列));

atobやString.fromCharCodeはプログラムの文字列をぱっと見読めないようにする目的で使われる文字列の変換処理です。ハッカーはatobやString.fromCharCodeを使用してその改ざんが何をしているのかがすぐに判明しないように難読化処理し、document.writeでそのコードをHTMLに出力しています。

※ただ、String.fromCharCodeは日本のサイトでは、スパムを防ぐためにメールアドレスを秘匿する目的でもよくつかわれますのでマルウェアとの切り分けが必要です。

3 大量の/* */

このマルウェアは、ワードプレスのコアファイルにランダムな文字列のファイル名で設置されることが多いです。
ファイル名の例 nlcebdto.php

マルウェアコードの例

/*  Unx */chr  (	数字/*rgv   */数字/*rQZu   */数字 ).chr    (数字)     ./* VbNc   */chr	(数字

このマルウェアの特徴としましては、CHRでマルウェアのコードを難読化しつつも大量の/* */(コメント)を含んでいることです。この大量のコメントは、マルウェアスキャナーで検出されるのを防ぐ目的で挿入されています。

4 \x数字を大量に含む

このマルウェアのコードは下記のような/x数字 の文字を大量に含んでいます。

\x3f\x70h\x数字\x20@\x数字\x76a\x数字c\x数字$\x5f\x52E\x51\x数字E\x53\x数字[

/x数字の文字列は、UTF-8をプログラムだけが展開できるように変換したもので人間が見ると意味不明な文字列に見えるようになっており、そのプログラムが一見して何をしているのかがわからないように難読化されたものです。
そのほかにも、 UTF-16 を変換しているもの\u00数字 もマルウェアコードではよく見られます。

5 $_HEADERSからの情報取得

このマルウェアはシンプルで下記のような形になります。

$_HEADERS = getallheaders();
if (isset($_HEADERS['文字'])) {
    $文字 = $_HEADERS['文字']('', $_HEADERS['文字']($_HEADERS['文字']));
    $文字();
}

このマルウェアはバックドアと呼ばれるもので、ハッカーがヘッダーに仕込んだどのようなプログラムも、サーバー上で実行可能となるものです。
ただ、上記コードの文字の部分は、一般的な単語でかつファイルによって変わるため、検出が難しいタイプの改ざんとなります。

上記すべてのタイプのマルウェアを検査できます

【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] をお試しください。

WordPress ワードプレスのマルウェアの駆除セキュリティー対策を専門家に丸投げ。ワードプレスドクターにお気軽にご依頼・ご相談お送りください

関連記事:

  1. ワードプレスサイト上のリンクをクリックすると別のサイトに移動してしまうリダイレクトハック
    リダイレクトハックとは、サイトのデータもしくはテーマファイルをハッカーが改ざんすることで本来ユーザーが見たいページから、ハッカーが望むページへ強制的に飛ばしてしまうタイプの改ざんです。 サイト上のリンクをクリックすると別サイトに飛んでしまうというリダイレクトハックのよくある事例を解説いたします。...
  2. ワードプレスのインジェクション攻撃って何?
    ワードプレスがハッキングされる手法には様々なものがありますが、最も多いのがインジェクション攻撃と呼ばれる攻撃です。このインジェクション攻撃について解説いたします。...
  3. ワードプレスが改ざんされたときに不正なJAVASCRIPTコードが埋め込まれるファイル10選
    ワードプレスで作成したサイトが、アクセスすると別のサイトに飛んでしまう(リダイレクト)、リダイレクトハックのコードがよく埋め込まれるファイルについて解説いたします。...
  4. サイトが別サイトに飛んでしまうリダイレクトハックのデータベース改ざん事例
    サイトが別サイト(多くの場合、不正なソフトウェアのダウンロードや偽のECサイト、ロボット認証をクリックさせるサイトなどになります)に飛んでしまうリダイレクトハックは、ファイルの改ざんだけでなく、データベースに入り込んでいることがございます。 データベースのマルウェアによる改ざん事例と対処方法をいくつかご紹介いたします。...
  5. ワードプレスでハッキングされてしまうサイトの特徴8選
    ワードプレスドクターで修復させていただいたサイト様でハッカーに侵入されてマルウェア被害を受けてしまったクライアント様で最も多かった特徴について解説させていただきたく思います。 こちらを元にしてセキュリティー対策を行われれば、ハッカーの侵入をかなり抑えることができるかと思います。...
  6. ワードプレスと同じフォルダにPHPMYADMINを設置するのは危険?
    phpMyAdminは、ブラウザーでデータベースの表示や、可能なあらゆる編集修正等ができる広く利用されているデータベースの管理システムですが、ワードプレスがインストールされているフォルダに設置されているとセキュリティー上問題がある場合があります。 この理由を解説いたします。...