もし、ワードプレスがウイルスに感染してしまったら?

ワードプレスが攻撃されてしまった

5月ごろから、ワードプレスが稼働しているサーバーを狙った大規模な分散攻撃が報告されているという。弊社で管理しているワードプレスにもその痕跡が見られた。ネットで同じ被害に遭った例はないかを検索してみると、どうやら世界的にワードプレスサイトが攻撃されていることが分かった。

その攻撃手法は一体どういうものなのだろうか?海外のウェブホスティング・サービス会社の報告によれと攻撃手法には次の様な特徴が見られた。

  • 攻撃は広範囲に分散化されている
  • 首謀者は分からない
  • IPアドレスを9万件以上つかっている
  • 脆弱なワードプレスの管理者認証に対して、ブルートフォース攻撃(総当たり攻撃)行われている
  • 具体的な内容は、ユーザー名「admin」と1,000件以上のよくあるパスワードを使って、管理画面にログインする

 

被害規模は?

実際に攻撃を受けてみて次の被害を受けていることが分かった。

  1. index.phpに難読化された不正なJavascriptコードが埋め込まれる
  2. wp-adminディレクトリ以下に40個以上の攻撃用のphpファイルが作成される

復旧作業

そして、この状況から回復するために以下の作業を行った。

  1. 改ざんされたソースコードを削除する
  2. adminユーザーを削除し、新たに管理者ユーザー名とパスワードを登録する

感染したファイルの確認

次は改ざんされたファイル中身を確認することにした。すると、改ざんされたindex.phpは下記のようになっていた。

改ざんされたindexphp

改ざんされたソースコードを見つける方法だが、FTPからワードプレスのソースコードをローカルにダウンロードしたらアンチウイルスソフトが自動的に検出して改ざんしたコードを削除してくれた。

トロイの木馬を検出


上の画像はマカフィーのインターネットセキュリティーで改ざんされたファイルを検出したもの。
どうやらExploit-Blacole.leというトロイの木馬に感染していたらしい。

勝手に作られたファイル郡
次はwp-admin以下にメールを送信するファイルが作成されていた時の攻撃用のファイル一覧。ワードプレスに関係のないファイルが40個以上も作成されていた。

このように適当な英数字のPHPファイルが作成されていたら、攻撃されていると思った方が良い。早急にワードプレスのソースを総入れ替えしよう。

これで安心?

できればデータベースの記事の内容も改ざんされているかを確認した方が良いだろう。もし、データベースの中身も改ざんされているとしたら、データベースを作りくらいの対応が必要になりそうだ。
あるいは、プラグインを使ってログイン方法をもっとセキュアにすることを検討すべきかもしれない。

執筆者:カニ
食パンを作る時に入れているイースト菌。このイースト菌だが袋を開封して空気にさらしたままにして冷蔵庫に保管していたらパンが全く膨らまなくなってしまった。大変だ。これではおいしいパンが食べられない。誰か、イースト菌を復活させる方法を教えてくれないかな。

関連記事一覧

  1. この記事へのコメントはありません。