目次
マルウェアの概要
今回解析した 4O4.php は、WordPressの「404エラーページ」を装った バックドア型マルウェア です。
通常の 404.php と異なり、ランダムな数字とアルファベットを組み合わせた不自然なファイル名になっており、サイト管理者が見落としやすい特徴を持ちます。内部には外部から送られるコマンドを実行する不正コードが隠されていました。
特徴
- 正規の
404.phpに似せて設置されるが、名前を微妙に変えて検知を回避。 $_POST経由でコマンドを受信し、サーバー上で実行可能。- 難読化コードを利用し、不正な挙動を隠している。
- リダイレクトやスパムページの生成など、外部攻撃の拠点に利用される危険がある。
無毒化したコードの一部をサンプルで表記
<?php
if (isset($_POST['cmd'])) {
$cmd = $_POST['cmd'];
// 本来は system($cmd) を実行する
echo "[攻撃コマンド受信: " . htmlspecialchars($cmd) . "]";
}
?>
感染ファイルの完全可読化ログ
以下は 4O4.php の可読化後の内容(一部危険な処理はコメント化済み)。
<?php
@error_reporting(0);
@set_time_limit(0);
if (isset($_REQUEST['action'])) {
$a = $_REQUEST['action'];
if ($a === 'info') {
phpinfo(); // サーバー情報出力
}
elseif ($a === 'exec') {
$c = $_POST['cmd'] ?? '';
if ($c) {
// 実際には外部コマンドが実行される
echo "[疑似実行: $c]";
}
}
elseif ($a === 'upload' && isset($_FILES['file'])) {
$f = $_FILES['file']['name'];
// move_uploaded_file($_FILES['file']['tmp_name'], $f);
echo "[アップロード受信: $f]";
}
}
?>
危険性
404ページに偽装して設置されるため、管理者が発見しづらい。- 任意コード実行によるサーバー乗っ取りのリスク。
- 攻撃者がスパムページやリダイレクトを仕込むことで、SEO評価やブランド信頼に深刻な悪影響。
- サイト利用者が不正サイトへ誘導される被害も報告。
実際の感染事例
4O4.phpがテーマフォルダ内に紛れ込んで設置され、全アクセスが不審サイトに転送されたケース。- 管理者が通常の
404.phpと誤認し、発見が遅れ被害が拡大した事例。 - 広告スパムの挿入により検索順位が急落し、Google検索からのインデックス削除につながったケースも存在。
駆除と復旧の方法
4O4.phpを即削除。- テーマフォルダ全体を公式ソースから再アップロード。
- wp-config.php やデータベースを精査し、不審なコード挿入を確認。
- すべてのアカウントのパスワードを変更(WordPress・FTP・DB・サーバー)。
- WordfenceやWP Cerberでスキャンし、残存ファイルがないか確認。
- 感染が深刻な場合は バックアップから復元。
再発防止のセキュリティ対策
404.phpなどのコアファイルに不審な変更がないか定期チェック。- セキュリティプラグインを導入し、改ざんを早期検知。
- ファイルの書き込み権限を最小限に制御。
- 管理画面のアクセス制限・二段階認証を導入。
- 定期的なバックアップ運用を徹底。
まとめ:早期対応がSEOと信頼回復のカギ
4O4.php のようなファイル改ざんは、サイト全体を不正利用されるリスクが高く、ユーザー信頼や検索順位に重大な影響を与えます。
感染が確認された場合は速やかに駆除・復旧を行い、継続的なセキュリティ対策を実施しましょう。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。