目次
マルウェアの概要
advancedserver.php は、WordPressの正規ファイルには存在しない不審なPHPファイルで、サイト内部に設置されていました。
解析の結果、このファイルは 高度なバックドア機能 を持ち、攻撃者がサーバーを完全にリモート操作できるように設計されていることが判明しました。
特徴
- ファイル名に「server」と含まれ、正規のシステムファイルのように偽装。
- 難読化されたコードを複数層にわたり使用し、解析を困難にしている。
- 攻撃者が送信するコマンドを実行できるシェル機能を持つ。
- サーバー上のファイル操作、データ抽出、外部への通信など多機能。
無毒化したコードの一部をサンプルで表記
<?php
if (isset($_POST['cmd'])) {
$command = $_POST['cmd'];
// 実際には危険なコマンド実行が行われる
echo "[攻撃コマンド受信: " . htmlspecialchars($command) . "]";
}
?>
感染ファイルの完全可読化ログ
以下は advancedserver.php の可読化後の抜粋(危険な処理はコメント化済み)。
<?php
@error_reporting(0);
@set_time_limit(0);
@session_start();
if (isset($_REQUEST['action'])) {
$a = $_REQUEST['action'];
if ($a === 'info') {
phpinfo(); // サーバー情報を表示
}
elseif ($a === 'exec') {
$c = $_POST['cmd'] ?? '';
if ($c) {
// 本来は system($c) が実行される
echo "[疑似実行: $c]";
}
}
elseif ($a === 'upload' && isset($_FILES['file'])) {
$f = $_FILES['file']['name'];
// move_uploaded_file($_FILES['file']['tmp_name'], $f);
echo "[アップロード受信: $f]";
}
}
?>
危険性
- 高度なバックドア機能により、外部から完全にサーバーを操作される可能性。
- 不正ファイルのアップロードや任意のスクリプト実行が可能。
- サイトの改ざん、スパムページ生成、フィッシング攻撃に利用されるリスク。
- サーバー全体が乗っ取られ、情報漏えいやサービス停止に至る危険。
実際の感染事例
advancedserver.phpがwp-includes/配下に設置され、外部からのシェル操作に利用されたケース。- サイト訪問者が強制的にマルウェア配布サイトへリダイレクトされる被害。
- セキュリティ業者による調査で数百の不正ファイルが同時に生成されていた事例も報告。
駆除と復旧の方法
- 不正ファイル
advancedserver.phpを即時削除。 - WordPress本体を公式の最新ファイルで上書き。
- プラグイン・テーマを全て正規の最新版に差し替え。
- 管理者・FTP・DBパスワードを変更。
- サーバーログを確認し、侵入経路を特定して再発を防止。
- ファイル改ざん検知やWebアプリケーションファイアウォール(WAF)を導入。
- 定期バックアップの確立で、万一の場合も迅速に復旧できるよう備える。
再発防止のセキュリティ対策
- WordPressやプラグインを常に最新に保つ。
- WAFやIDS/IPSを活用して攻撃を自動遮断。
- 管理者権限の多要素認証を導入。
- サーバーのアクセス権限を最小限に制御。
- 定期的なセキュリティ監査を実施。
まとめ:早期対応がSEOと信頼回復のカギ
advancedserver.php は高度に偽装されたバックドアであり、サーバー全体の安全を脅かす深刻な脅威です。
発見次第すぐに削除し、セキュリティ体制を強化することが、被害を最小限に抑える鍵となります。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。