ワードプレスの脆弱性経由で設置されてしまうウェブシェルについて解説いたします。
ウェブシェルとは?
ウェブシェルとは、ネットワーク経由で設置され、サーバーのソフトウェアレベルで動作する不正なプログラムのことです。
例えばワードプレスは下記のような枠組みで実行されます。
①Apache(サーバーソフトウェア)→MYSQL(データベースソフトウェア)→PHP(サーバーサイトスクリプト言語)→ワードプレス
この①のサーバーソフトウェアレベルで不正なプログラムを動作させるマルウェアがウェブシェルという事になります。
PHP経由でサーバーサーバーレベルのウェブシェルを動作させるのに shell_exec や execという関数がよく利用されますので、ウェブシェルがPHPで作成されている場合はこの関数が含まれている場合が多いです。
ウェブシェルの不正な活動の例
ウェブシェルは様々な活動を行います。
・不正なソフトウェアのサーバーへのインストール
・サーバーのコマンドを実行
・メールの送受信やサーバーレベルのユーザーの作成
・データベースの取得や送信による情報漏洩
・バックドアの設置や作成
・DNSを書き換える
等サーバーソフトウェアとしてできることは何でもできてしまうという事になります。
ただ、多くのサイトのサーバーは共用サーバーですので、サーバー上のソフトウェアの実行は制限されていることが多く、共用サーバーの場合は、ウェブシェルでできることはほとんどが実施できず、限られているといってよいかと思います。
ウェブシェルが設置されると最も危険なタイプのサーバーは独自サーバーや、VPS、AWSなどのルート権限レベルでサーバーを操作できるようなサーバーのご契約をされている場合となります。
ウェブシェルの検出と駆除
ワードプレスのディレクトリに設置されているPHPでできているタイプのウェブシェルは、【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] で検出駆除が可能です。
ただ、サーバーのウェブサイトのディレクトリ外に設置されているウェブシェルは、上記プラグインでは検出できません。
サーバーのウェブサイトのディレクトリ外のウェブシェルを検索・駆除したい場合は、サーバーレベルでの調査駆除が必要となります。
独自サーバーや、VPS、AWSなどをご利用になっている場合は、サーバー内の全ファイルのウェブシェルを検出できるような専用ソフトウェアや手作業による検出が必要となります。
このような事例は非常に少ないもののウェブシェルの駆除には大きめの工数が見込まれ、サーバー内のOSやサーバーサイドソフトウェアを再インストールしてサーバーを再構築する方が早く確実である可能性が高いです。
WordPress ワードプレスのマルウェア駆除は専門家にお任せください。ご依頼・ご依頼はこちらからお気軽にお送りください
