目次
マルウェアの概要
本件は「wp-cron.php」というWordPress標準ファイル名に偽装して設置されていたバックドア型PHPファイルです。
wp-cron.php は本来、WordPressの定期実行処理(疑似cron)を担う正規コアファイルです。しかし今回のファイルは、正規コードとは異なる不正処理を含んでいました。
名称を完全に一致させることで、管理者の目視確認や簡易チェックを回避する高度な偽装手法です。
特徴
- WordPressコアファイル名と完全一致
- 外部リクエスト受信処理を含む
- エンコード文字列の復号処理
- 動的実行構造(eval相当)
- 通常のcron動作を装う
正規ファイルと差し替える、または別ディレクトリに配置することで発見を遅らせます。
無毒化したコードの一部をサンプルで表記
危険部分を無効化した典型構造:
<?php
if(isset($_REQUEST['action'])){
$payload = base64_decode($_REQUEST['action']);
// 本来はここで実行
// eval($payload); ← 無効化
}
このような構造がある場合、外部から任意コードを投入できる状態になります。
感染ファイルの完全可読化ログ
解析結果の処理フロー:
- 特定パラメータの確認
- 受信データを復号
- 条件分岐処理
- 任意コード実行(危険部分は無効化)
- 正常終了を装う
擬似構造:
if(check_request()){
$decoded = decode_payload();
// execute($decoded); ← 無効化
}
これは典型的な「Webシェル型バックドア」です。
危険性
このマルウェアが存在すると:
- サーバー上で任意コマンド実行
- 管理者アカウント追加
- データベース改ざん
- SEOスパム設置
- 他マルウェアの追加感染
特にコアファイル名に偽装しているため、長期間放置される危険があります。
実際の感染事例
主な侵入経路:
- 更新停止プラグインの脆弱性
- 不正ログイン
- FTP情報漏えい
- nulledテーマ利用
設置パターン:
- ルート直下のwp-cron.php差し替え
- 別ディレクトリに同名設置
駆除と復旧の方法
1. 正規ファイルとの差分確認
- 公式WordPressのwp-cron.phpと比較
- ハッシュ値確認
2. コア再設置
- WordPress公式版を再アップロード
- 上書き修復
3. サーバーログ確認
- 不審IP
- 不審な外部通信
再発防止のセキュリティ対策
- 定期アップデート
- WAF導入
- ファイル改ざん監視
- 二段階認証
- FTP制限
- 定期バックアップ
まとめ:コア偽装は最も危険な手法
wp-cron.php偽装型バックドアは、WordPress内部構造を理解した攻撃者による高度な手法です。
正規ファイル名だから安全という判断は非常に危険です。
定期的な整合性チェックと専門的な解析が不可欠です。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。