この記事は約 4 分で読めます。2013年7月22日
先日、wpppmという悪意のあるプラグインを紹介しましたが、今日はwp_bingというプラグインです。
「WordPressでサイトを運用しているが、トップページ以外のページがすべて英語のサイトに転送されるようになってしまった、修復して欲しい」というご依頼でした。
調べると、wpppmのほかにwp_bingという謎のプラグインが。
このプラグイン(厳密に言うとプラグインとして不正にインストールされているもの)は管理画面からも確認することが出来ますが、その際にはTumblr Importerという名称になっています。
よってプラグイン管理画面でTumblr Importerをインストールしていないにもかかわらずこの名称を見かけた場合には必ずチェックしてください。
本物のTumblr Importerの場合、ディレクトリ名はtumblr-importerとなりますが、偽者はwp_bingとなっています。
このディレクトリ(wp_bing)の中を見てみましょう。
中には3つのファイルが含まれています。本物のTumblr Importerとはファイル数が異なります。
さて、この偽物ファイルのうち、mod_system.phpというファイル、これが悪意のあるファイルです。
中を開くと、
<!--?php eval(base64_decode("CiRhdXRoX3Bhc3MgPSAiN2U5NDI0YmZhMTJkMWYyYWQzMjQ2M2FjMWE4・・・[/html] </pre--> といった形でbase64形式でエンコードされた文字列が。 デコードすると、 $auth_pass = "ハッシュ化されたパスワード"; # test $color = "#df5"; $default_action = 'FilesMan'; $default_use_ajax = true; $default_charset = 'Windows-1251';
という文字列、おなじみのFilesManと呼ばれるバックドアです。
このバックドアを通じて、悪意を持った人物はサーバー内で自由に行動することができます。
新しいファイルやディレクトリを設置することも、変更することも、削除することも出来ます。
このケースではルートディレクトリに20のディレクトリが設置され、indexファイルが置かれていました。
中のメニューをクリックすると、同じデザインの海外サイトに転送されます。
他にも幾つものファイルが置かれていましたが、その中にはメール送信用のスクリプトもありました。
除染はすべて完了し復旧しましたが、原因はログインパスワードが簡単なものでこれが破られていたことが判明。
パスワードは出来るだけ複雑に、そしてユーザー名のadminはやめましょう。
このバックドアはよく設置されているものの一つです。
ファイル名は様々に偽装されているためぱっと見ただけでは分かりませんが、時々これが設置されているのにもかかわらず気が付いていないサイトも見かけます。
今回のケースではこれが幾つも設置されており、先述のmod_system.phpの他にもbing.php、rpoll.phpなど様々な名称で置かれていました。
こうしたバックドアがどんなに危険なものか、次回はその仕組みに触れてみます。