ワードプレスとその他のシステムと混在しているサイトにおいて、ワードプレス以外のシステムにも設置されるフォルダ名と同じ名称のPHPファイルのマルウェアが発見されましたので、この事例につきまして解説いたします。
ワードプレス外のシステムに広がるマルウェア感染
WPドクターにマルウェア駆除をご依頼いただいたクライアント様のサイトは、ワードプレスサイト数点と独自制作されたシステムがサーバー内で混在している構成でございました。
一般的に、ワードプレスのマルウェアはワードプレスのフォルダ構造をスキャンして自動で感染を広げます。この為ワードプレスのフォルダ構造と違う独自システムに感染が広がることは少ないです。
しかしクライアント様のサイトの独自システムにはフォルダ名と同名のPHPファイルのマルウェアが多数感染していました。
例
/var/www/Library/Library.php
このPHPファイルのコードは下図のようになっています。
このファイルはShell Bypass 403 GE-C666C というタイトルがついている、難読化されていないバックドアとなります。
ワードプレス外のシステムにマルウェアが広がった理由
一般的に、よほど大きなアクセスのあるサイトで、そのサイトをハッキングして大きなメリットがある場合を除いて、独自システムがハッキングの対象になることは少ないです。
このような独自システムをハッキングする場合、ハッカーは手作業でセキュリティーホールを探す必要があり、高い技術を必要とし、時間もかかるからです。
翻ってワードプレスサイトは、世界中に何億とあり、既知の脆弱性が放置されているサイトもその普及度の高さから、膨大にあるため、手当たり次第に自動ハッキングツールでハッキングすればすぐに改ざんできるサイトが見つかります。
この為、クライアント様のサイトはまずワードプレスの脆弱性を破られ改ざんされたうえで、ハッカーがサイトの構造をバックドア等から解析して、サイトの独自システムにさらに前述のようなバックドアを目立たないようにフォルダと同名のファイルで設置したものと考えられます。
ワードプレス外の独自システムのマルウェアへの対処方法・検出と駆除
ワードプレスのマルウェア感染・改ざんを放置すると、独自システム内にもマルウェアを設置されてしまう可能性があります。この為
・マルウェアの早期発見、駆除
が独自システムを守るためにも重要となります。
ワードプレスがあるフォルダ以下すべてのファイルを網羅的に自動でマルウェア検査・通知し、管理画面からマルウェア駆除もできる【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除] を利用いただき、マルウェア検査を実施していただくことをお勧めいたします。
また、マルウェア感染があった場合は、マルウェア駆除に加えて、最初にハッカーの侵入を許した脆弱性も塞ぐ必要がございます。最もよくあるハッカーに利用される脆弱性は下記のような脆弱性となります。
・ワードプレスの管理者ユーザーのパスワードが弱い
・古いプラグイン等の既知の脆弱性(ほとんどの脆弱性はプラグインが非有効化されていても突くことができます)
・サーバー内に放置されている古いワードプレスサイトの脆弱性
またマルウェア検査駆除・セキュリティー対策の一連の作業を経験豊かな専門にご依頼いただくことも可能です。お気軽にご依頼・ご相談お送りください。
WordPress ワードプレスサイトやサーバーの独自システムのマルウェア検査駆除・セキュリティー対策のご依頼・ご相談はお気軽のWPドクターまでお送りください
