WordPressの脆弱性を狙うスパムボットStealratの感染を確認してみた

世界標準のブログ及びCMSとなれば狙われる機会も増えるのは宿命となるのは世界の要人が狙われるのと一般ですが、 SP、即ちセキュリティポリス宜しく頼もしいガードが守ってくれるのも世界の要人と一般です。 其の要こそWordPress開発陣と言えるでしょう、 開発意欲も旺盛なWordPressに於いてはバージョンアップが頻繁に為され、 機能向上ばかりでなく中にはセキュリティーへの配慮も往々にして包含されますから、 小マメなバージョンアップ作業はWordPress管理者の義務とも言えます。

トレンドマイクロの警告

さてさてWordPressを守ってくれるのはWordPress開発陣ばかりではありません。 技術力の高いソフトウェアメーカーなども其の内に含まれるのは頼もしいことで、 此の如き援護もWordPressの世界標準たる所以でしょう。

今回はウィルスチェックソフトとしてのシェアも高きソフトウェアメーカー トレンドマイクロ 社が其のトレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)の記事 CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには? を配信、注意を促してくれています。

スポンサーリンク

スパムボット Stealrat

トレンドマイクロ社が今回警告を発するターゲットは以下CMSの利用者です。

  • WordPress
  • Joomla
  • Drupal

当該CMSの脆弱性を突いた Stealrat なるスパムボットが跋扈し、感染したCMSを踏み台にいかがわしいスパムメールを思う儘に配信していると言うのですから、 感染者に取っては他人に迄迷惑を及ぼす実に困った事態となります。

従って先ずは当該CMSの利用者は自ら運営するシステムが 此の悪辣なマルウェアに感染しているか否かを判断しなければならないのですが、 其の手法に付いてもトレンドマイクロブログは言及しています。 此れを今回本ブログ運営者が運営するWordPressを用いたホームページ うさ犬ランド で試してみましたので以下に其の状況を共有します。

不正ファイルに記述される文字列の検索

Stealratに感染すると不正PHPファイルがシステムに混入し、 其のPHPには或る文字列が記入されている、とトレンドマイクロブログは報告します。 其の文字列は以下であるとされます。

die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321)

此れをシステムフォルダ中から検索して見付かれば残念ながら感染していることとなります。 トレンドマイクロブログではlinuxシステムに於いてはgrepを用いれば良いとしていますから、 其れに従いましょう、手元の環境でもtelnetでシステムに接続し、 以下のコマンドを入力して検索しました。

$ grep -r "die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321" /該当パス/

此処に -r オプションが指定されているのは、単独ファイル内の検索にあらずして、 該当パスで指定されたディレクトリ内のファイル全ての内容を再帰的に検索するためです。 更にはファイル内の何行目に文字列が存在するかを知りたい際には -n オプションを加えて -rn とすれば良いでしょう。

手元の環境では一瞬以下の如く表示され…

/該当パス/.bash_history:36:grep “die(PHP_OS.chr(49).chr(48).chr(43).md5(0987654321 該当パス/

など表示され焦りましたが、 其の文字列が36行目に記されるのが .bash_history と有りますから、どうやら全角の二重引用符を用いて検索に失敗した履歴が表示されただけでした。

不正ファイルの検索

またトレンドマイクロブログには不正ファイルが混入される、とありますから 当該ファイル名をシステム内に検索すれば良いことになります。 ただしトレンドマイクロブログに指摘されているようにファイル名は偽装される可能性も高いため、 上のファイル内文字列検索よりは検出精度は下がらざるを得ないでしょう。 指摘されるファイル名は以下の如くなります。

  • sm13e.php
  • sm14e.php

従ってlinuxシステムに於いては以下の如く検索すれば良いでしょう。 今回は上のWordPress所有者ユーザーが権限を持つフォルダを ユーザー権限で検索しましたが、此処ではルート権限でシステム全体を検索しました。

# find / -name sm*.php

どうやら検出はされず、先ずは一安心と言った処です。 此れで取り敢えずは胸を撫で下ろして WordPressシステムに通知の有るバージョン3.6へのアップデートを 冒頭に記した如き理由も有れば速やかに実施したのですが、 其の次第は次回のブログ記事に譲りたいと思います。

スポンサーリンク