目次
マルウェアの概要
アップロードされた「mode.php」は、高度に難読化されたバックドア型マルウェアです。コード全体が文字列結合や不可読な関数名で構成され、通常の管理者が内容を理解できないよう意図的に隠蔽されています。難読化の目的は、不正機能の隠蔽とスキャン回避です。
本マルウェアは、外部からの命令を受けて 任意コード実行・ファイル操作・追加バックドア設置 などを行う危険な特性を持つと判断されます。
特徴
- base64 / 文字コード変換 / 圧縮関数を連鎖させた 多段難読化構造
- ペイロードを動的に復元する仕組み
- POST/GET 経由で攻撃者の命令を受け取る可能性
- ファイル操作・シェル実行を目的にした関数を使用
- WordPress コアと無関係の位置に単体設置されている
無毒化したコードの一部をサンプルで表記
(危険要素を除去し、構造のみ理解できる形に再構成)
<?php
// 難読化された文字列を復号する処理
$payload = base64_decode($obfuscated_string);
// 復号されたコマンドを解析
eval($decoded_command); // ← 実際はコメント化
// 外部リクエストから命令受信
$cmd = $_POST['cmd'] ?? null;
if ($cmd === 'file_write') {
// ファイル書き込みの処理
}
※危険コマンド(eval, system 等)はすべてコメント化し、再現不能化しています。
感染ファイルの完全可読化ログ
安全化した解析結果の要点は以下の通りです。
- 多段デコード処理(階層型復号器)
- base64デコード → str_rot → gzinflate → eval の流れが確認される
- ペイロードは外部入力依存
- 変数
$_POST$_GETを読み取り、攻撃者の命令を復号・実行
- 変数
- 攻撃者専用の簡易コマンド構造
write:任意ファイル作成exec:サーバコマンド実行upload:ファイルアップロード
- バックドアとしての持続化
- 攻撃者の再訪問を前提とした構成
- 他のPHPファイルへの感染拡大機能の可能性
危険性
- 難読化により検知されづらく、発見が遅れやすい
- 任意コード実行(RCE)により完全なサイト乗っ取りが可能
- 追加のバックドアファイル設置が容易
- SEOスパム・リダイレクト挿入に悪用されるリスク
- WordPressコアの整合性破壊
- サーバ全体への横展開攻撃の可能性
実際の感染事例
- wp-content/uploads やテーマフォルダ直下、public_html に偽装設置
- Wordfence や ClamAV で “Obfuscated PHP Backdoor” として検知
- 他のマルウェア(TinyFileManager など)と同時に設置されるケース多数
- 攻撃者が POST 送信を定期的に行い、コマンドを実行した痕跡あり
駆除と復旧の方法
- 該当ファイルを削除(必ずバックアップ後)
- WordPress コアを公式パッケージから再展開
- テーマ・プラグインをすべて正規版に置換
- uploads などに残存するバックドアを
grepで検索 .htaccessの改ざんチェック・修正- DB 内の未知オプション・cron イベントを初期化
- サーバログから侵入経路を特定しパスワード・API を全変更
再発防止のセキュリティ対策
- 常時アップデート(WP / プラグイン / PHP)
- ファイル変更監視ツールを導入
- 管理画面のIP制限・2FA
- xmlrpc.php の制限(必要ない場合は無効化)
- 不審ファイルを自動検査するセキュリティプラグイン
- 毎日バックアップ+世代管理
まとめ:早期対応がSEOと信頼回復のカギ
多段難読化された「mode.php」は、典型的なバックドアであり、サイトの完全乗っ取りにつながる極めて危険なファイルです。通常の保守では検知されにくく、プロによる調査と包括的な復旧が必要です。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。