Filesmanによるバックドア

今年の6月、不動産系のWordpressサイトが通称Filesmanによる改ざんを受けました。

先日のwp-info.php同様、サイトのウィルスチェックをパスしてしまう改ざんです。ブラウザが改ざんサイトを「アクセス先のサイトで不正なソフトウェアを検出しました」や「悪意のサイト・・・」のように表示してブロックを掛けるようになりましたが、他のウィルスチェックツールと同じく、どうやらheader.phpやfooter.phpのようにページ表示に関係するファイルをチェックするだけで、Wordpressの全ファイルを見ていないようです。確かに改ざんサイトを見てもウィルスに感染しないのであれば、見る側には問題が無いわけです。

今回の改ざんは、サイト内から無数のスパム（ウイルス）メールが送信させるものでした。ルートにWPにはないcredits.php置かれ、そのソースの始まりは以下です。

 <?php
$auth_pass = "774bb8b3a285083cfa3adc070e14b57f";
$color = "#df5";
$default_action = 'FilesMan';
$default_use_ajax = true;
$default_charset = 'Windows-1251';
preg_replace

このファイルを置いたハッカーはFTPなどなくてもサイト内を自由に行動できます。よく見るといたるところに改ざんphpファイルが置かれていました。

通常、ハッカーはテーマフォルダーやheader.phpやfooter.phpを改ざんするのですが、これではすぐ気づかれてしまうためか、uploadsフォルダー、imagesフォルダー、プラグインフォルダーのように普段ほとんど見ない場所に改ざんファイルを置いてゆきます。

こうなると、手動で改ざんファイルを削除することは困難です。

サーバー内のデータをすべて削除して、きれいなファイルと置き換える必要があります。