WordPressマルウェア解析レポート：自己復活型MUプラグインバックドア（teknocore-guardian.php）

マルウェアの概要

teknocore-guardian.php は自己復活型のバックドアです。削除されても mu-plugin を自動生成して再感染する特徴があります。

特徴

• mu-plugin自動生成
• Base64エンコードされたペイロード
• WordPressディレクトリ検出
• 永続化バックドア

無毒化したコードの一部をサンプルで表記

$muPlugins = $wpContent.'/mu-plugins';
$muFile = $muPlugins.'/teknocore.php';
if(!file_exists($muFile)){
   file_put_contents($muFile,$payload);
}

感染ファイルの完全可読化ログ

処理の流れ

1. WordPressディレクトリ検出
2. mu-pluginディレクトリ確認
3. 存在しない場合生成
4. Base64ペイロード展開
5. 永続バックドア設置

危険性

• 削除しても復活
• 管理者権限奪取
• サーバー乗っ取り

実際の感染事例

WordPressのmu-pluginsフォルダを悪用した永続型マルウェアとして確認されています。

駆除と復旧の方法

• mu-plugins確認
• 不審PHP削除
• WordPress再構築

再発防止のセキュリティ対策

• ファイル監視
• WAF導入
• 定期スキャン

まとめ：早期対応がSEOと信頼回復のカギ

自己復活型マルウェアは特に危険であり、完全な調査と駆除が必要です。

著者情報

WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。