ワードプレスに感染するraw.githubusercontent.comを利用するマルウェア(ワードプレスサイトが改ざんされて埋め込まれる不正なプログラムの事)について解説いたします。

raw.githubusercontent.comを利用するマルウェア

このマルウェアはワードプレスサイトがホストされているサーバーに下記のような名称で設置されることが多いです。
ファイルは、サーバーのあらゆるフォルダに広がっている場合もございます。

aks.php
small.php
style.php
install.php
lf.php
moon.php

マルウェアのコードは下記のようなコードとなっています。

コードに含まれる大量の /***** の部分はマルウェアの機械的検査を回避するためのコメント(コード上実行されない部分)です。

このコードはraw.githubusercontent.comからマルウェアの本体のコードを引っ張ってきて、サーバー内で実行するタイプの不正なプログラムです。

raw.githubusercontent.comとは?

raw.githubusercontent.com は様々なコードを編集履歴付きで編集できるGITという仕組みをオンラインサービスで提供している

https://github.com/

のコードをひとつづつそのまま素のテキストとして返してくれるサイトです。
ハッカーはこのサービスを悪用して、GITHUBにホストされているマルウェアのコードをターゲットとなるサーバーに埋め込んだファイルから呼び出して実行している形になります。

マルウェアに感染してしまったら?

マルウェア検査と脆弱性をふさぐ作業が必要となってまいります。

マルウェア検査駆除が簡単にできるプラグインをご利用ください。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]

もし手におえないと思ったら、早めにマルウェア駆除とセキュリティー対策を専業とする専門家集団である、当社にご相談いただけましたら幸いです。

WordPress ワードプレスのマルウェア駆除・セキュリティー対策のご依頼・ご相談がワードプレスドクターまでお気軽にお送りください