先日運用していたWordPressがマルウェアによる被害を受けました。
幸いバックアップをとっていたため復旧ができましたが、今後の対策のために知見を残しておこうと思います。
上の画像はFTPソフトでファイルを表示した際の画面です。
ファイルの末尾に __8997da9 という表記がついているのが確認できます。
末尾についた文字を消して php の拡張子に戻してからファイルを開くと元の通りに見ることが可能でした。
about.php というファイルが作成されており、
file_get_contents(__FILE__) で自分自身のファイルを読み取りexplode("?>", …) のように区切って、PHP閉じタグの後ろに隠した長いペイロードを取り出しbase64_decode / str_rot13 で復号 → preg_replace('/…/e', …) や @eval() で実行といったコードが確認されました。
wp-includes/revisions.php というファイルが作成されており、アクセスログを確認すると異常にアクセスされていました。
組織別レポートによると、「66.249」(GooglebotのIPレンジ) が全体の98.9%を占めていました。
| IP組織 | リクエスト数 | 割合 |
|---|---|---|
| 66.249(Googlebot) | 420,981 | 98.9% |
| 20.xxx | 3,779 | 0.19% |
| 52.xxx | 835 | 0.32% |
| その他 | 少数 | – |
Googlebotが悪いわけではなく、「感染によって生成された不正URL」をGoogleが正規ページだと思って巡回したと思われます。
coiai