ワードプレスのマルウェアの9割以上にはPHPプログラムの難読化処理が行われています。この難読化処理についてかいせついたします。
難読化されたワードプレスのマルウェアのコード
ワードプレスが脆弱性などによってハッキングされ、改ざんされてしまうと、ハッカーは様々な不正なPHPプログラムをサーバーに設置します。
この不正なコードのほとんどがぱっと見何をしているプログラムかわからないようにコードの可読性を下げる難読化処理が行われます。
※難読化されたコードの例
ハッカーが不正なPHPコードを難読化する理由は、解析を避けるためと、検出を避けるためとなります。
PHPコードをどうやって難読化しているのか?
PHPコードの難読化には様々な手法があり、そのためのソフトやライブラリが無料で配布されていたり、オンラインでコードを難読化することもできます。
PHPコードを難読化できるサイトやスクリプトの例
https://www.gaijin.at/en/tools/php-obfuscator
https://php-minify.com/php-obfuscator/
https://www.mobilefish.com/services/php_obfuscator/php_obfuscator.php
https://github.com/mnestorov/php-obfuscator
ハッカーはこのようなサイトを使って不正なマルウェアのコードを難読化して、サーバーに埋め込んできます。
また難読化を解除するサービスもあります。
http://php-decoder.site/
https://www.unphp.net/
難読化されたマルウェアのコードはどこにある?
難読化された不正なコードは、一般的に成形されておらず、非常に長い1行のプログラムになっており、ランダムな文字列が多く含まれていますので目視すれば簡単にそれとわかる場合が多いです。
しかし、PHPコードはサーバー上のどこにでも置けるため、深い階層に設置されている場合もあり、数千ファイルを超えるプログラムがワードプレスに含まれていることから発見するのが困難な場合があります。
マルウェアを検出するプラグインで、全ファイルを網羅的に検査する方が発見しやすいかと思います。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
それでも駆除しきれない場合は?
マルウェア検出プラグインは、パターンマッチングでマルウェアを検出するため、人的な作業に比べはるかに簡単により多くの不正なコードを発見することができますが、新しいマルウェアはまだパターン検出データベースに含まれていなかったり、難読化処理がサイト毎の変わるような高度なマルウェアもございます。
このようなマルウェアはプラグインだけでは発見と駆除が困難な場合があります。駆除しきれないマルウェアがある場合は専門家にご相談いただくことをお勧めいたします。
WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談はお気軽にわーどぽうれすドクターまでお送りください
