マルウェアの概要

アップロードされた zzfsat.php は、強力に難読化された 多機能バックドア型 PHP マルウェア です。base64 / gzinflate / 文字列連結を多段で組み合わせ、内部の攻撃コードを完全に隠蔽する構造となっています。外部から送信される命令を復号し、任意コード実行・ファイル操作・追加バックドア設置 などを行う、典型的な“ステルス型”バックドアです。

特徴

  • 文字列断片を大量に連結して復号する 多段難読化ロジック
  • eval を用いた復号後コードの動的実行
  • POST パラメータから攻撃者の命令を受信
  • ファイル書き込み・削除・データ生成などの可能性
  • WordPress 構造外に単体で設置されるケースが多い
  • スキャナ回避を意図した variable-in-variable 構造

無毒化したコードの一部をサンプルで表記

(攻撃性を完全に除去し、構造だけ理解できるよう整形)

<?php
// base64 文字列を分割・結合
$obf = $chunk1 . $chunk2 . $chunk3;
$decoded = base64_decode($obf);

// 復元されたコードを実行(実際は無効化済み)
// eval($decoded);

// 外部命令を受信
$cmd = $_POST['c'] ?? null;
if ($cmd === 'write') {
    // ファイル書き込み処理
}

※ eval・system・shell_exec 等の危険コマンドはすべてコメントアウト済み。

感染ファイルの完全可読化ログ(安全化した構造解析)

  • 多段復号器の存在
    • 文字列連結 → base64_decode → gzinflate → eval
  • 外部命令の入口が存在
    • $_POST / $_GET の値を取り込み
  • バックドア指令の形式(推定)
    • write:任意ファイル生成
    • exec:サーバ側で任意コード実行
    • upload:ファイルアップロード
    • fetch:ファイル吸い上げ
  • 持続化の仕組み
    • 他 PHP ファイルへの書き込み
    • .htaccess による隠蔽(推定)

危険性

  • 任意コード実行(RCE)によるサーバ支配
  • 追加バックドア設置の温床
  • SEOスパム・リダイレクト挿入など改ざん被害
  • ファイル・DB への不正書き込み
  • 難読化により発見困難
  • WordPress サイト全体の破壊リスク

実際の感染事例

  • public_html 直下に単体で設置
  • Wordfence / Patchstack にて “PHP.Obfuscated.Backdoor” として検知
  • 同時に TinyFileManager など他のバックドアが見つかるケース多数
  • POST リクエストから周期的な攻撃アクセス跡

駆除と復旧の方法

  1. zzfsat.php を即時削除(バックアップ後)
  2. WordPress コアを公式版で再展開
  3. テーマ・プラグインを全て正規版に置換
  4. uploads フォルダを grep で徹底検索
  5. 改ざん .htaccess の修正・削除
  6. DB に不審なオプション(base64 長文)がないかチェック
  7. すべてのログイン情報・APIキーを変更
  8. サーバログから侵入経路を特定

再発防止のセキュリティ対策

  • WordPress / プラグイン / PHP の常時最新化
  • 改ざん検知プラグインの導入
  • 管理画面に IP 制限・2FA を設定
  • xmlrpc.php の制限
  • 不審ファイルを自動スキャンする仕組みの導入
  • 毎日バックアップ(世代管理)

まとめ:早期対応がSEOと信頼回復のカギ

zzfsat.php は強力に難読化されたバックドアで、検知が遅れるほど被害が拡大しやすい危険ファイル です。単独で削除しても再感染する可能性が高いため、サイト全体の包括的な調査と復旧が必須となります。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。

27