WordPressマルウェア解析レポート：難読化PHPバックドア（xGqHAmMz.php）

マルウェアの概要

このファイルは強い難読化（16進数エスケープ + gotoジャンプ）を使用したPHPバックドアです。実行時に一時PHPファイルを生成し、任意コードを実行するタイプの攻撃コードです。

特徴

• goto を大量に使用したコードフロー難読化
• 16進数エスケープによる文字列隠蔽
• sys_get_temp_dir() を使った一時PHP生成
• 任意コード実行バックドア

無毒化したコードの一部をサンプルで表記

$temp = sys_get_temp_dir() . "/run_" . uniqid() . ".php";
$payload = "...encoded payload...";
file_put_contents($temp,$payload);
include $temp;

感染ファイルの完全可読化ログ

このマルウェアは以下の構造で実行されます。

1. 難読化された文字列を読み込み
2. 一時PHPファイル生成
3. ペイロード展開
4. 任意コード実行

危険性

• サーバー完全乗っ取り
• Webシェル設置
• スパム送信
• SEOリダイレクト

実際の感染事例

WordPress改ざんサイトで確認された典型的なバックドアの一つです。

駆除と復旧の方法

• 不審PHP削除
• WordPressコア再インストール
• 管理者パスワード変更

再発防止のセキュリティ対策

• ファイル変更監視
• WAF導入
• プラグイン更新

まとめ：早期対応がSEOと信頼回復のカギ

このタイプのバックドアは放置すると被害が拡大します。迅速な駆除が重要です。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。