WordPressマルウェア解析レポート：ログイン型バックドア（xNiyMjeCH.php）

マルウェアの概要

このファイルは偽の管理ログイン画面を生成するバックドアです。認証に成功すると外部サーバーから追加ペイロードを取得します。

特徴

• 偽ログインフォーム生成
• MD5ハッシュ認証
• 外部サーバー通信
• セッション操作

無毒化したコードの一部をサンプルで表記

if(md5($password)===$storedHash){
   $_SESSION['logged_in']=true;
}

感染ファイルの完全可読化ログ

処理の流れ

1. HTMLログイン画面表示
2. パスワード入力
3. MD5検証
4. 外部URLから追加コード取得

危険性

• 攻撃者の永続ログイン
• 外部C2通信
• 追加マルウェア展開

実際の感染事例

侵入後に管理画面とは別の隠しログインページとして設置されるケースが多く確認されています。

駆除と復旧の方法

• ファイル削除
• サーバースキャン
• 全管理者パスワード変更

再発防止のセキュリティ対策

• ログインURL変更
• 2FA導入

まとめ：早期対応がSEOと信頼回復のカギ

隠しログイン型バックドアは長期間潜伏するため早期発見が重要です。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。