WordPressマルウェア解析レポート：.htaccess改ざんで管理画面403になるタイプ

WordPressマルウェア解析レポート：自己複製型バックドア

マルウェアの概要

このファイルは WordPress内部に設置される自己複製型バックドアです。

攻撃者が遠隔からコードを送り込み、サーバー上に新しいPHPファイルを生成できる機能を持っています。

特徴

• Base64難読化
• gzip解凍
• ファイル自己複製
• POSTリクエストでコード注入

無毒化したコードの一部をサンプルで表記

$filterfunc = strrev('46esab')."_".strrev('edoced');

これは

base64_decode

を難読化して実行する処理です。

感染ファイルの完全可読化ログ

主な動作

1 POSTデータ受信
2 Base64デコード
3 gzip解凍
4 新しいPHPファイル生成

危険性

このマルウェアに感染すると

• 攻撃コード注入
• 永続バックドア
• サイト完全乗っ取り

が可能になります。

実際の感染事例

WordPress改ざん後にコアファイル風の名前で設置されるケースが多いです。

駆除と復旧の方法

1 不正PHP削除
2 WordPressコア再設置
3 データベース確認

再発防止のセキュリティ対策

• WAF導入
• ファイル監視

まとめ：早期対応がSEOと信頼回復のカギ

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。