「データベース接続エラー」を呼び起こす改ざん被害事例

「データベース接続エラー」と表示される改ざん事例 「データベース接続エラー」と表示される改ざん事例が多いので、ご紹介します。 「データベース接続エラー」の場合設定ミスなどもあり得ますが、本件はwp-config.phpの […]

「データベース接続エラー」と表示される改ざん事例

「データベース接続エラー」と表示される改ざん事例が多いので、ご紹介します。

「データベース接続エラー」の場合設定ミスなどもあり得ますが、本件はwp-config.phpの内容を書き換えられてしまうことで起こります。

入口となっているのは、Duplicatorプラグインです。

このプラグインは2018年に重大な脆弱性が見つかっておりアップデートとinstaller.phpやinstaller-backup.phpの削除が呼びかけられていましたが、アップデートされないまま、削除されないままだったファイルが悪用されています。

本脆弱性の概要とPoC

さて、足元での事例では、DBユーザー名やパスワードはランダムな文字列、DBホスト名についてはIPアドレス(ポート443)が指定されています。

/** MySQL のホスト名 */
define(‘DB_HOST’, ‘xxx.xxx.xx.xxx:443’);

こうした書き換えが行われることにより、もともとの接続情報は削除され、DB接続エラーを引き起こします。

wp-config.phpの内容自体を書き換えられる以上、不正なコードを追加しバックドアを作ることが可能です。

WordPressコアやプラグインのアップデートなどが原因となっての「データベース接続エラー」ではなく、あくまで脆弱性を悪用された結果の改ざん被害ですので、まずは以下を確認してください。

1.installer.phpやinstaller-backup.phpが存在しないか

2.Duplicatorプラグインが存在しないか

3.wp-config.phpのDB接続情報でDBホストが443ポートに向かっていないか

 

 

 


カテゴリ:
タグ:,,