WordPressマルウェアの特徴

当方の集客手法の特徴でもあるのですが、スポット新規のWordPressのセキュリティ・インシデントのレスキュー依頼が、毎年、年に数回あります。セキュリティ対策を意識していない企業は、零細中小企業に多く、被害が拡大しやすいです。

インシデントの渦中、WordPressダッシュボードにブラウザでログイン出来ない状態の場合、ダッシュボードにログインして使える状態まで仮復旧させ、仮復旧状態でマルウェアスキャンプラグインを利用し、マルウェア除去を実施します。

仮復旧までには、目視、grep、find、ファイルシステム改ざん履歴に対する各種の時系列検索コマンド、原本ファイルとの比較、DB検索などでマルウェアを取り除く必要があります。慣れると、ソースコードを斜め読み程度で素早くマルウェアを判別して除去出来ます。

仮復旧までに、DBはwp_optionsテーブルのsiteurlやhomeの改ざん被害なども確認し、改ざんされていれば修正します。なるべくwp-cliのwp search-replaceコマンドを使います。

WordPressマルウェアの特徴

マルウェア探索/除去の作業の際には、ファイルシステムの改ざんされた年月日時分を並べて表をつくり、何のソースコードなのか?わかる範囲で分析と対策に活かします。依頼者の方がインシデントに気づく前の日時から、既にバックドアが設置されているなどサイバーキルチェーンの段階推測に役立ちます。

  1. phpやjavascriptのソースコードで横1行に異様に長く目立って突出している部分
  2. bas64やevalなどのjsの関数が使われていて横1行に長い
  3. 全jsファイルの最後の一行に同じマルウェアが改ざん追記されている
  4. コア、プラグイン、テーマなどディレクトリ種別に関係なく改ざんされる
  5. 変数の命名が全部1文字で変数名から機能を想像できなくさせているソースコードから構成されているファイル
  6. permission や directory や file など、SFTPのGUI画面みたいなhtmlを吐き出すファイル(99.99999999%バックドアです)
  7. キーファイルの様な中身ですが、そのファイルパスに配置されている意味が理解できない追加されたファイル
  8. wp-content/uploads/でメディアファイル用フォルダなのにphpやjsファイルが追加されている
  9. covid19など社会現象が変数の命名に利用されている
  10. 同じディレクトリのファイル一覧の画面でファイルの命名ルールが明らかに異なるファイル名(逆に正当そうに感じられてしまう命名のマルウェアファイルもある)
  11. ファイル名にconfigが入っているが、各種設定を記載しているconfigファイルの機能を果たしていない
  12. データベースに格納したくなる、やたらと要素が多いハードコーディングの配列
  13. パーミッション000にされてしまっているファイル、パーミッション000ファイルの前後にあるphpやjsのファイル
  14. ファイル更新日時でデータ型が日付であるはずの欄に並び方が異なる数値が格納されている(DB設計ミスの可能性も同時に疑われる)
  15. .htaccessやindex.php(攻撃者が存在を一番予想できるファイルなので改ざんされやすい。開発コメントの複数行の中に1行だけ混じっていて目視で見落としやすそうなものなどもある)
  16. 更新日時が周辺に比べてスポット的に異質なファイル
  17. 何らかの矛盾や違和感のあるファイルやソースコード(こんなところにadmin.phpやwp-admin.phpは必要?など)、違和感を感じ取るのはとても大事。設計を把握しているソフトウェアこそ、マルウェア除去作業しやすい。

マルウェア(ウィルス)除去

公式テーマ、公式プラグイン、コアについては、github公開リポジトリで該当バージョンを入手してdiffによる差分比較でマルウェア探索と除去が可能です。github公開リポジトリから入手可能なファイルは、バックアップだけ取得しておいて、サーバ内からコアやプラグインなどの個別パーツ単位で全削除してgithubから持ってきて新規アップロードする。「本番環境なので稼働を止めないで・・・」という顧客要望がある場合もありますが、マルウェア除去の精度確保のためには「肉を切らせて骨を断つ」として可能な限りのファイル削除を実施するために数分の稼働停止を経営陣と交渉するケースもあります。公式プラグインや公式テーマではない場合、DBも含む完璧なマルウェア除去の立証は難しくなります、ベストを尽くすべきです。

オリジナルテーマやオリジナルプラグインの場合、事情を伝えて開発者から購入時のソースコードを受け取れたらベターです、脅威被害を受けた直接の原因であるかどうかわからない場合もありえます、慎重な交渉を行ってください。

異なる脆弱性DBのマルウェアスキャン(プラグイン)を複数実施する

マルウェアスキャンプラグインは、それぞれ利用している脆弱性データベースのウィルスパターンファイルが異なるので検出結果も異なります。異なる脆弱性DBのマルウェアスキャンプラグイン複数で最新のパターンファイルでDBとファイルの両方のスキャンを行い、検出結果の誤検知仕分けを行い、マルウェアのみ除去を行ってください。マルウェアスキャンプラグイン1つだけ実施して満足しないでください。また、目視手作業の除去とプラグインによるマルウェアスキャンを行ったから、マルウェア全部を除去出来たと断定は出来ません。

マルウェア除去を行う場合、WPScanのようなバージョンスキャンによる既存の脆弱性スキャンではなく、マルウェア(Virus)スキャンでファイルとDBの改ざん被害をあぶり出す、いわゆるウイルススキャンを実施してください。

よく使うマルウェアスキャンプラグイン

9 Best WordPress Malware Removal Plugins (2022)を上から順番に使っていきますが、アカウント作成が必要だったり、初回スキャンのみ無料だったり、有償でないとスキャン出来なかったり、有償でないとパターンファイルを最新に出来なかったり、コスト的な課題があります。

  1. Malcare
  2. Sucuri Security
  3. Anti Malware Security and Brute Force Firewall
    (GUIデザインは古風ですが、マルウェア除去作業の精度を上げるためによく考えられているプラグインです)
  4. WP-Doctor Malware Scanner & Security Pro
  5. BPS Security(BulletProof Security)
  6. Defender
    (使いやすい)

マルウェア除去後は即座に堅牢化

相手はボットなので、堅牢化しないと数時間以内に再び同じインシデントが起きます。セキュリティ・インシデントに1人で対応する場合、対応速度と対応精度の限界戦です。完了するまで一喜一憂せず、冷静沈着を貫いてください。この記事はサンドボックス検証やインターネット遮断などは行わず、対応手法の費用を極限まで削減したWordPress専用の対応手法となりますのでご了承ください。

テーマ原本のファイルなどのソースコード脆弱性の静的診断は、Snykなどを使います。レンタル共有サーバーというインフラ制約や顧客側の予算などの理由でフォレンジック実施まで至ったことはありません。

WordPressの堅牢化は、更新永続、低品質プラグインの利用禁止、外部ユーザーによるphpの実行を許可しないことなどが大事です。脅威を含むリクエストを受けても実行させない環境を作ります。

レンタル共有サーバー会社ではなく、レンタル共有サーバー利用者側の責任

レンタル共有サーバー会社で可能な脅威対策は、主に「仮想化基盤セキュリテイ」と「ネットワークトラフィックに対するWAF」と「OS更新の永続」です。セキュリティインシデントのレスキュー依頼をいただくWordPressは、レンタル共有サーバーで運営されているケースがほとんどです。攻撃者が最も悪質であることは不変の事実ですが、レンタル共有サーバーが脆弱なのではなく、phpバージョン、WordPressバージョン、プラグインバージョンなどの更新放置やプラグイン(バージョン)脆弱性診断などを怠る運用者のリテラシー不足がインシデント被害原因の120%を占めます。義務教育でソフトウェアアップデートの重要性を定着させる必要があります。レンタル共有サーバー会社の中には、OSアップグレードまで頑張っている会社もあります。ビジネス的に負けていて大胆な刷新メンテナンスの費用を捻出できていない弱小なレンタル共有サーバーを選ばない事も大事です。

phpバージョンなども含めたアップデートの実施、堅牢化、DB内の不要テーブル削除、不要なバックアップデータの削除とバックアップデータのローテーション設定、CVSSのスコアで脆弱なプラグインやテーマの除去、(オリジナル)テーマのソースコードエラー修正、などを行い、再被害から脱出できます。堅牢化では、マルウェアの実行阻害やC&Cサーバとの通信阻害も設定することで、未発見な残りの潜在マルウェアをなるべく無効化します。

以降、採用するプラグインとテーマの厳選、アップデートの永続を行うことでセキュリティ・インシデント発生を無くせます。法人組織の情シス業務ほどカバー範囲が広いものではないため、WordPressのWEBサイト1つか2つ程度であれば、1人情シスでも面倒を見られます。大量WordPressの場合、一元管理が必要です。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください