目次
マルウェアの概要
今回解析した「av.php」は、WordPress の xmlrpc.php を偽装した高度なバックドア型マルウェアです。ファイルマネージャ機能・任意コード実行・ログインバイパスなど複数の不正機能が含まれ、完全にシステムを乗っ取る目的で作られています。
特徴
- XML-RPC を装った偽装ファイル(先頭コメントが WordPress の正規ファイルを模倣)
- JSON ベースのコマンド制御
- 以下のような機能が確認される:
- 認証バイパス
- ファイル一覧取得
- ファイルアップロード / ダウンロード
- 任意コードの実行
- ファイル削除 / フォルダ削除
- データベース操作の可能性
- サイズが約 80KB と大きく、多機能型のバックドア
無毒化したコードの一部をサンプルで表記
$authorization = '{"authorize":"0","login":"admin","password":...}';
$cmd = json_decode($input,true);
if($cmd['action'] === 'file_delete'){
// ファイル削除処理
}
※危険な挙動部分はコメント化し、機能だけが分かる形に無毒化しています。
感染ファイルの完全可読化ログ
以下は内部構造を安全化した上で要点のみを整理したものです:
- 認証部:固定パスワードを用いた疑似ログイン機構
- コマンドルータ:
actionパラメータで挙動を切り替え - 実装されている主なコマンド
file_listfile_uploadfile_deletefolder_deletedownloadexec_code
- 出力は全て JSON 形式で返却
- WordPress の xmlrpc.php と誤認させるための偽装コメント多数
危険性
- バックドア完全支配:管理画面とは無関係に操作可能
- ファイル操作が自由:アップロード・削除・書き換えなど何でも可能
- Webシェル化:任意の PHP コードを実行できる
- SEO改ざん・スパム設置の温床
- 再感染リスク極大:攻撃者が自由に追加ファイルを投入
実際の感染事例
- xmlrpc.php が「av.php」など別名で保存されていた
- Wordfence で「バックドア / ファイルマネージャ型」として検知
- サーバ内に複数の不審 .htaccess や追加のスクリプトが散在
- 認証不要のため外部から常時アクセスされていた形跡
駆除と復旧の方法
- 感染ファイルを即時削除(バックアップ後)
- WordPress コアを公式パッケージから再配置
- wp-content 以外を全て置き換え
- テーマ・プラグインも公式版へ更新
- 不審なユーザー・cron・DB 内のオプションを確認・初期化
- サーバ内に隠されたバックドアを
find/grepで完全検索 - APIキー・パスワード全て変更
再発防止のセキュリティ対策
- WordPress・テーマ・プラグインを最新化
- xmlrpc.php の制限(不要なら無効化)
- 管理画面への IP 制限
- Web アプリFirewall(WAF)の導入
- 不審ファイル監視と自動バックアップ環境の構築
- コアファイルの改ざん検知を行うセキュリティプラグイン活用
まとめ:早期対応がSEOと信頼回復のカギ
「av.php」は多機能型バックドアであり、サイトを完全に乗っ取られる極めて危険なタイプです。早急に駆除し、サーバ全体のセキュリティ強化が必須となります。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。