index.php に感染するindex.html.bak.bakを含むマルウェアファイルについて解説いたします。


index.phpに偽装、置き換えするマルウェア

昨今検出が非常に多くなっている、このマルウェアはワードプレスサイトに含まれるindex.php を置き換えたり、生成したりして下記のような不正なコードを書き込みます。

マルウェアの構造

このマルウェアの /*ランダムな文字列*/ の部分は、マルウェアが自身で残存状況を確認するための識別子です。

@include 文でマルウェア本体を読み込んでいますが、そのパスは多くの場合難読化されています。
※難読化されたコードは http://php-decoder.site/ などで解除できることがございます。

echo @file_get_contents(‘index.html.bak.bak’); の部分で本来のindex.phpの内容を読み取って出力します。

つまりこのマルウェアは本来のindex.phpやindex.htmlをindex.html.bak.bak もしくは index.html.bak などのファイルの名称に書き換え、不正なコードを実行させる偽のindex.phpを生成するマルウェアという事になります。

サイトにアクセスしたユーザーは、偽のファイルを実行してしまい、本来表示するページに加えてマルウェアの実行コードも含んだページを表示することになります。

マルウェアの駆除

このマルウェアの駆除には、下記の3ステップが必要となります。

1 @include 文で読み込んでいるマルウェア本体を削除
2 リプレイスされた偽のindex.phpを削除
3 リネームされたindex.html.bak.bakを本来のindex.phpやindex.htmlに名称を戻します

また、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] でこのタイプのマルウェアを一気に検査できます。是非ご利用ください。

WordPress ワードプレスのマルウェア駆除とサイトの復旧は専門家にお任せ!お気軽にご依頼・ご相談お送りください

関連記事:

  1. ワードプレスドクターが復旧したマルウェア感染サイト事例集
    最近当社が復旧したマルウェア感染サイトのパターンをいくつか公開いたします。この記事のようなファイルがワードプレスのインストールフォルダやプラグインフォルダ、アップロードフォルダなどにあればご注意ください!...
  2. ワードプレスがハッキング・改ざん・乗っ取りされた際にユーザー向けに行うべきこと
    ワードプレスが改ざんされて、別のサイトにリダイレクトされる、懸賞サイトに飛ばされる、不正なファイルのダウンロードをされる等、サイトに訪ねてくれたユーザーに被害が及ぶ可能性がある場合にユーザー向け(サイトを利用してくれる方)にどのように対応したらよいかを解説いたします。...
  3. ワードプレスのwp-config.phpやindex.php の一番上部に@include \057var/\167wwがある場合の対象方法
    ワードプレスのwp-config.phpやindex.php  の最上部に突然、@include で始まる文字列が現れたときの原因と対象方法を解説いたします。...
  4. ワードプレスのマルウェア、Googleの偽のログイン画面を表示するheck.php
    昨今非常に多くのウェブサイトの改ざんで、Googleの偽のログイン画面を表示するタイプのものが増えていますのでこちらについてその事例と解説を行います。...
  5. ワードプレスが改ざんされたときに不正なJAVASCRIPTコードが埋め込まれるファイル10選
    ワードプレスで作成したサイトが、アクセスすると別のサイトに飛んでしまう(リダイレクト)、リダイレクトハックのコードがよく埋め込まれるファイルについて解説いたします。...
  6. ワードプレスの脆弱性とは?PHPプログラムの脆弱性について解説
    ワードプレスサイトで、改ざんやマルウェア(ウィルス)感染した際に、よく言われる脆弱性とは何なのでしょうか? 今回はプログラムの脆弱性に関しまして解説いたします。...