目次
マルウェアの概要
本ファイル「DdsxpW.php」は、強い難読化処理が施されたバックドア型PHPマルウェアです。
ファイル名はランダム文字列で生成されており、発見を遅らせる目的があります。
主な機能は「外部から任意コードを受信し、サーバー上で実行すること」です。
これにより攻撃者は継続的にサイトを操作できます。
特徴
- ランダムなファイル名(DdsxpW.php)
- 変数名の無意味化
- base64 / gzinflate / str_rot13 等を組み合わせた多層難読化
- eval / assert 相当の動的実行構造
- 外部通信またはPOSTデータ受信構造
複数段階の復号を経て実行されるため、目視では内容がほぼ判読できません。
無毒化したコードの一部をサンプルで表記
危険部分を無効化した可読化例:
<?php
$encoded = "eJyrVkrLz1eyUkpKLFKqBQA9vwYH";
$decoded = gzinflate(base64_decode($encoded));
// 本来はここで実行
// eval($decoded); ← 無効化
実際のコードでは、復号後に外部から取得した文字列やPOST値を実行する構造でした。
感染ファイルの完全可読化ログ
解析により判明した処理フロー:
- 難読化された文字列を複数に分割
- 文字列連結で関数名を生成
- base64_decode → gzinflate 等で復号
- 外部サーバーまたはHTTPリクエストからデータ取得
- 復号済みデータを実行(危険部分は無効化)
擬似構造:
$function_name = reconstruct_string();
$payload = receive_input();
$decoded = multi_layer_decode($payload);
// eval($decoded); ← 無効化
これは典型的な「Webシェル型バックドア」に分類されます。
危険性
このマルウェアが存在すると:
- サーバー上で任意コマンド実行
- 管理者アカウントの不正作成
- データベース改ざん
- SEOスパムページ自動生成
- フィッシングページ設置
- 他マルウェアの追加感染
企業サイトでは信用失墜・検索順位低下・取引停止など重大な影響があります。
実際の感染事例
主な侵入経路:
- 更新停止プラグインの脆弱性悪用
- 管理画面ブルートフォース攻撃
- 不正アップロード機能の悪用
- nulledテーマ利用
ランダムPHPファイルが uploads / themes / wp-includes 直下に設置されるケースが多く確認されています。
駆除と復旧の方法
1. 即時対応
- DdsxpW.php を削除
- 同階層の全PHPファイル精査
- 不審なユーザー確認
2. 再設置
- WordPressコアを公式から再アップロード
- テーマ・プラグインを正規版で再インストール
3. データベース確認
- 不審なcron設定
- 不審なオプション値
- SEOスパム投稿
再発防止のセキュリティ対策
- 不要プラグイン削除
- 定期アップデート
- WAF導入
- ファイル改ざん監視
- 二段階認証導入
- 定期バックアップ
「更新停止」と「検知遅延」が最大のリスク要因です。
まとめ:早期対応がSEOと信頼回復のカギ
DdsxpW.phpのような難読化バックドアは、発見が遅れるほど被害が拡大します。
一度侵入されたサイトは、部分修正ではなく「再侵入前提」での総点検が重要です。
著者情報
WordPressのセキュリティ復旧・運用支援を専門する CreativeStudio樂のエンジニアユニット によって執筆されております。
WordPressのマルウェア駆除、改ざん復旧、セキュリティ強化の豊富な実務経験に基づき、企業サイトやブログ運営者が安心してサイトを運営できるよう支援しています。