目次
マルウェアの概要
アップロードされた abcd.php は、WordPressの正規構造には存在しない不審なPHPファイルです。ファイル名は一見シンプルで harmless に見えますが、中身には 外部からのコマンド実行・ファイル操作・情報取得 を可能にする典型的なバックドア構造が含まれていました。
難読化こそ弱いものの、POSTリクエストを入口にサーバー制御が可能になるため、放置すると重大な被害につながる危険性があります。
特徴
abcd.phpという単純名で偽装し、管理者の注意を避ける。- 外部からのパラメータ入力(
$_POST/$_REQUEST)を利用し、任意コードを実行可能。 - ファイルアップロードに対応し、追加マルウェアの展開が可能。
- サーバー情報の取得や権限操作につながるコード片が含まれている。
無毒化したコードの一部をサンプルで表記
<?php
if (isset($_POST['cmd'])) {
$cmd = $_POST['cmd'];
// 本来は system($cmd) でコマンド実行が行われる
echo "[受信コマンド] " . htmlspecialchars($cmd);
}
?>
感染ファイルの完全可読化ログ
解析した abcd.php の構造(危険部分はコメント化・無効化済み)。
<?php
@error_reporting(0);
@set_time_limit(0);
@session_start();
// 外部コマンド受け付け
if (isset($_REQUEST['action'])) {
$a = $_REQUEST['action'];
if ($a === 'info') {
phpinfo(); // 環境情報が漏えい
}
elseif ($a === 'exec') {
$c = $_POST['cmd'] ?? '';
if ($c) {
// 危険: 実際には system($c) または shell_exec($c)
echo "[疑似実行: $c]";
}
}
elseif ($a === 'upload' && isset($_FILES['file'])) {
$file = basename($_FILES['file']['name']);
// move_uploaded_file($_FILES['file']['tmp_name'], $file);
echo "[アップロード受信: $file]";
}
}
?>
危険性
- サーバー乗っ取りレベルの深刻なバックドア機能を持つ。
- 追加マルウェアを自由にアップロードされる危険性。
- 不正リダイレクトやスパムページ生成の起点になる可能性。
- SEO評価の急落、Google警告、インデックス削除につながる恐れ。
実際の感染事例
abcd.phpがwp-content/uploads/に配置され、攻撃者のリモート操作に利用されていた。- 攻撃者がスパム広告ページを大量生成し、検索順位が壊滅状態になった事例。
- ホスティングから高負荷の警告を受け、アカウント一時停止に至ったケースも存在。
駆除と復旧の方法
abcd.phpを即削除。- サーバー全体をスキャンし、類似するバックドアをすべて排除。
- WordPress本体・テーマ・プラグインを正規最新版で上書き再配置。
- すべてのアカウントのパスワード変更(WP/FTP/DB/ホスティング)。
- 不正ユーザー・不正タスク(wp-cron)・不正オプション値の有無を確認。
- ログ解析により侵入経路を特定し、脆弱プラグインを除去。
- 実害が出た場合は クリーンバックアップから復元を検討。
再発防止のセキュリティ対策
- サーバー内のPHPファイル改ざん・追加を監視。
- WAFやWordfence等セキュリティプラグインを導入。
- プラグイン・テーマは必要最低限にし、常に最新化。
- 二段階認証やIP制限で管理画面の防御を強化。
- 週次〜月次でバックアップと復旧テストを実施。
まとめ:早期対応がSEOと信頼回復のカギ
abcd.php は単純名で偽装された典型的なバックドアで、深刻な被害をもたらす危険ファイルです。
早期発見と即時削除、さらに再発防止策の徹底が、ビジネスの信頼回復につながります。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。