最近のWordfenceセキュリティチームは正常です WordPress プラグインで偽装した新しいタイプのマルウェアを発見し、詳細をワードフェンスブログに公開しました。この悪意のあるプラグインは、管理者ダッシュボードに表示されないように設計されており、パスワードの抽出、リモートコードの実行、持続感染の維持などが含まれています。サイトに奇妙な症状がある場合は、サーバーに正当なプラグイン名で偽装された悪意のあるプラグインが隠されていないことを確認してください。
正当なプラグインのように見えるマルウェア、 WordPress ユーザー警告
WordPressセキュリティに強いが WordPress コア、テーマ、プラグインの更新を無視したり、セキュリティの脆弱性があるテーマやプラグインを使用したり、長時間更新されず放置されているテーマやプラグインを使用したり、簡単なパスワードを使用したり、adminまたはサイトドメイン名を管理者IDに設定するなど、セキュリティ慣行を無視する場合、マルウェアに感染したり、サイトがハッキングされる。
WordPress セキュリティ専門会社であるWordfenceは6月2日Malware Masquerades as Legitimate, Hidden WordPress Plugin with Remote Code Execution Capabilities「というブログ記事で、リモートコード実行機能を持つコードで、通常の隠しプラグインで偽装されたマルウェアについて詳しく取り上げました。
この悪意のあるプラグインは/wp-contents/plugins/パスに保存され、WooCommerce Product Add-onsと同じ名前で偽装してユーザーに信頼感を与えます。内部的には WordPressのコア関数がない場合は、必要なファイルを強制的に含め、 all_plugins フックを使用してプラグインリストから自分を隠します。このような方法は非常に悪い慣行と考えられ、悪意のあるコードに一般的に使用されています。
add_filter('all_plugins', function($plugins) {
$plugin_file = plugin_basename(__FILE__);
if (isset($plugins[$plugin_file])) {
unset($plugins[$plugin_file]);
}
return $plugins;
});利用している WordPress プラグインのファイルに上記のようなコードが挿入されている場合は、マルウェアとして疑う必要があるようです。上記のコードについてチャットGPTにどのような機能をするのか聞いてみると次のように教えてくれますね。
このコードは WordPressのall_plugin■フィルタにフックを追加して現在のプラグインファイル(FILE)に対応する項目をプラグインリスト配列$pluginsから削除します。つまり、 WordPress 管理者画面の「プラグインリスト」ページでこのプラグインが表示されないように隠す機能をします。
このプラグインは、攻撃者が制御サーバーのURLを設定する機能も提供します。設定された住所は WordPress データベースに保存され、その後、ログイン情報、クッキー、IPアドレスなどが攻撃者サーバーに定期的に送信されます。特に、custom_reporter_timer cookieを活用して6時間ごとに情報を収集して送信することで、サーバーの負担を軽減し、検出を避けるという。
マルウェアに感染すると、サイトに過度のトラフィックが発生したり、サイトが非常に遅くなることがよくあります。このマルウェアは、サイト運営者がマルウェアに感染しているかどうかに気づかないように、巧妙なこれらの巧妙な方法を使用しているようです。
管理者ログイン時に収集される情報には、ユーザー名、Eメール、IP、ブラウザ情報、Cookieが含まれます。これは、Base64エンコード後に攻撃者サーバーに送信されます。送信される情報にパスワードは含まれませんが、クッキー情報でセッション消臭が可能で管理者権限の消臭が懸念されます。その悪意のあるプラグインは authenticate フックを使用してログインが成功したかどうかを検出したら、追加情報を奪取します。
この悪意のあるプラグインは、認証されていないユーザーも利用可能なAJAXフックを介してリモートでコードを実行できるように設計されています。 PHPのReflectionFunctionとsystem()呼び出しを組み合わせた隠れた手法は バックドア 機能を隠すのに効果的です。この機能は、単純なコード実行を超えてサーバー制御権限まで攻撃者に提供できます。
悪意のあるプラグインの侵入経路は主に管理者アカウントの消臭と推定されていますが、 WordPressのフックシステムを活用するためには、プラグインを有効にする必要があるからです。悪意のあるプラグインはさまざまなファイル名で偽装して配布され、例としてはwoocommerce-product-addons.php、yoast-seo-pro.phpなど、ユーザーが疑わないように、そのような正常なプラグインの名前になっています。
感染しているかどうかを確認するには、プラグインディレクトリに単一のファイルのみを含むフォルダが存在するか、API_SN_CLOUDSERVERエントリがwp_optionsテーブルに存在するか、custom_reporter_timer Cookieがブラウザに存在するかどうかを確認する必要があります。
この悪意のあるプラグインは普通のプラグインのように見えますが、ログイン情報の消臭、セッションのハイジャック、リモートコードの実行など、さまざまな悪意のある機能を隠しているので注意が必要です。
最後に、
常に強調するが WordPress コア、テーマ、プラグインをできるだけ最新のバージョンに更新し、定期的にバックアップしてPCやクラウドストレージなどに保存し、Wordfenceなどのセキュリティプラグインをインストールしてセキュリティを強化できます。 (クラウドウェイズを利用する場合、サーバーレベルで強力なファイアウォールが提供されるため、セキュリティプラグインをインストールする必要はありませんが、セキュリティをさらに強化したい場合は、ワードフェンスなどのプラグインをインストールできます。
頻繁にサーバーに接続して奇妙な名前のファイルがあるか、そしてプラグインフォルダにインストールしたことのないプラグインがあるかどうかをチェックしてみるといいようです。
まれですが、外部の作業者(特に海外開発者)に作業を委ねる場合にマルウェアが注入されることもあります。
👉マルウェア感染を含む WordPress またはWebホスティング関連の問題で解決するのが難しい場合 ここでサービス(有料)をご依頼することができます。
コメントを残す