カテゴリー
WordPress

本家のお世話-#41。(Malwareの話)

投稿アップデート情報  追記(6/23)

 臨時サーバには,ウイルス対策ソフトとして,Avira Free Antivirusを入れてある。今朝,これが34個もの「PHP/WebShell.A.1[virus]」を報告してきた。検知場所は,C:WINDOWSTempのphpxx.tmpというわけで,現時点で悪さをしているわけではないらしい。

 当然削除したが,せっかくCentOS6の練習機を建てたので,これでちょっとphpxx.tmpの中を覗いてみた。初体験。こんな感じ。
—————————————————————————————————————————
   <?php
   $auth_pass = "";
   $color = "#df5";
   $default_action = ‘FilesMan’;
   $default_use_ajax = true;
   $default_charset = ‘Windows-1251′;
   preg_replace("/.*/e","x65x76x61x6Cx28ーーーー省略1ーーーーx63x6Fx64x65x28
   ’~~~~省略2~~~~’
   x29x29x29x3B",".");
   ?>
—————————————————————————————————————————
 見たところ,普通のPHP Script。ただし,本体部分は,エンコード後圧縮されている。
 Windows-1251 は キリル文字で,この文字コードで保存されているらしい。
 x65x76x61x6Cx28ーーーー省略1ーーーーx63x6Fx64x65x28 の部分をデコードすると,
eval(gzinflate(base64_decode( 同様に,x29x29x29x3B の部分は ))); になる。本体部分(~~~~省略2~~~~)は,素人が生半可にいじるのは危ないかなと思い,何もしなかった。何か結構,深刻なタイプのBackdoorで Windows にも Linux にも影響があると書いてあるし。

 どこから着弾したのかと思って調べてみたが,よく分からない。よく分からないが,Apacheのログに,
   78.85.9.30 – – "POST ~/uploadify.php" 404 "Googlebot/2.1" <<– 関係部分のみ抜粋
というのが,phpxx.tmpと同じ時間帯にズラッと並んでいた。自鯖上には uploadify.php は1枚もないから,HTTPエラーコードはすべて404になっている。これは失敗しているけど,開いているポートから,tmpファイルとして送り込まれたということだろうか。この辺りのことが,もともとよく理解できていないのだが,今回調べてもまだよく分からない。ご存知の方は,ご教示いただけるとありがたいです。

 ところで,uploadify.php だが,6月9日づけで,WordPress Exploit Alert: Uploadify.phpという記事が見つかったから,脆弱性があるらしい。既に,パッチが出ているのかどうかははっきりしない。

 書き忘れるところだった。UAがGooglebotになっているが,逆引きすると,ホスト名は a30.sub9.net78.udm.net になるので,詐称は明らかなようだ。

追記(6/23):
 今日,WordPress Exploit Alert: Uploadify.phpを見に行ったら,新しい情報が書き込まれていた。関係のある方は,参考にされるといいかもしれない。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です