WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法
トレンドマイクロ社のセキュリティブログでWordPressなどのCMSの脆弱性を悪用するスパムボット「Stealrat」に関するエントリが公開されています。この記事によると、2013年4月~7月末で約19万5千ものサイトが「Stealrat」に感染し改ざんされたとのこと。
CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
このスパムボットの運用状況を監視する過程で、弊社は、約19万5千もの改ざんされたドメインおよび IPアドレスを特定しました(期間:2013年4月~7月末)。これら改ざんサイトの共通点として、このスパムボットを操作するサイバー犯罪者は、脆弱性を抱える「コンテンツ管理システム(CMS)」を使用する Webサイトを悪用しており、確認した CMS として、「WordPress」や「Joomla」、「Drupal」が挙げられます。
被害が確認されているCMSは「WordPress」、「Joomla」、「Drupal」ということですが、特に「WordPress」は多くのブロガーが利用しているので注意が必要です。
サイトが改ざんされている場合、不正なPHPファイルが存在しているはずです。一般的に「Stealrat」が用いるのは「sm13e.php」、「sm14e.php」というファイルですので、まずはこのファイルが存在していないかどうかを確認しましょう。
また、ファイル名が変更されている可能性もあるので、覚えのないPHPファイルがないかどうかの確認も必要です。これらのファイルには、特定の文字列が含まれているので、その文字列を一括検索するのが手っ取り早いでしょう。
その文字列および検索方法も、トレンドマイクロ社のブログで公開されています。
WordPressは人気が高い分、よく攻撃の対象となります。ブログをWordPressで構築されている方はご用心ください。
なお、感染の有無に関わらず、WordPressの古いバージョンには脆弱性があります。また、プラグインにも脆弱性があるものが多いです。利用されている方は、WordPressを最新のバージョンにアップデート(感染していた方は該当ファイルを削除後)するとともに、プラグインに脆弱性がないかどうか確認することをおすすめします。
このスパムボットの運用状況を監視する過程で、弊社は、約19万5千もの改ざんされたドメインおよび IPアドレスを特定しました(期間:2013年4月~7月末)。これら改ざんサイトの共通点として、このスパムボットを操作するサイバー犯罪者は、脆弱性を抱える「コンテンツ管理システム(CMS)」を使用する Webサイトを悪用しており、確認した CMS として、「WordPress」や「Joomla」、「Drupal」が挙げられます。
被害が確認されているCMSは「WordPress」、「Joomla」、「Drupal」ということですが、特に「WordPress」は多くのブロガーが利用しているので注意が必要です。
サイトが改ざんされている場合、不正なPHPファイルが存在しているはずです。一般的に「Stealrat」が用いるのは「sm13e.php」、「sm14e.php」というファイルですので、まずはこのファイルが存在していないかどうかを確認しましょう。
また、ファイル名が変更されている可能性もあるので、覚えのないPHPファイルがないかどうかの確認も必要です。これらのファイルには、特定の文字列が含まれているので、その文字列を一括検索するのが手っ取り早いでしょう。
その文字列および検索方法も、トレンドマイクロ社のブログで公開されています。
また、不正な PHPファイルの存在の確認方法として、以下のいずれかの文字列を検索するのも 1つの方法です。
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)
Linuxをご使用の場合、コマンド「grep」を使用して以下のコマンドで検索することも可能です。
grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″ /path/to/www/folder/
Windowsをご使用の場合、以下のコマンドで検索します。
“die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321″
CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
(引用元はコマンドの一部がなぜか一部2バイトで記載されているのでご注意ください)
WordPressは人気が高い分、よく攻撃の対象となります。ブログをWordPressで構築されている方はご用心ください。
なお、感染の有無に関わらず、WordPressの古いバージョンには脆弱性があります。また、プラグインにも脆弱性があるものが多いです。利用されている方は、WordPressを最新のバージョンにアップデート(感染していた方は該当ファイルを削除後)するとともに、プラグインに脆弱性がないかどうか確認することをおすすめします。
