今回はWordPressで構築されたサイトを狙ったマルウェア「UBH CSU」について、実際に被害を受けたのでその対処と対策について記述していきます。
世の中のほとんどのサイトはWordPressで作成されていると言っても過言ではないぐらい、WordPressは普及しています。しかし、普及が進むに比例してセキュリティリスクは高まっていくのも事実です。
WordPressで構築されているサイトは常に攻撃の標的にされがちですので、対策をしっかりとしていきましょう。
UBH CSUの挙動・配置されたらどうなるか
WordPressに[UBH CSU]を配置されるとどのような症状が出るのかについて、
私が被害に合った際の症状を下記にまとめます。
サイトの表示
- TOPページ以外のページが404表示になる
- TOPページがやけに重い / 画像の表示がおかしい
- 管理画面にアクセスできなくなる
内部的な動き
- サイトディレクトリの直下に不審なファイル[ 0x.php ]というものが配置される
- [ .htaccess ] が書き換えられる
- サイトのあらゆるディレクトリ(wp-content / wp-admin / wp-include)内に[ .htaccess ]または[ 0x.php ]が配置される
- 同一サーバー上の他のWebサイトディレクトリにも0x.phpと.htaccessが配置される
調査できた範囲でも上記のような攻撃をされていました。
特に恐ろしいのが、マルウェアを配置されたサイトだけでなく、
そのサーバー上に設置された他のサイトにも汚染が進むという点です。
一つのサーバーで複数サイトを管理する状況は珍しくないと思いますが、
そのような環境の場合は特に注意が必要です。
対処方法・手順
感染の大元を調べる
まずはマルウェアを配置されたサイトがどのサイトなのか調べましょう。
攻撃の基になったサイトには wp-content/pluginsディレクトリの中に [ UBH CSU ]というプラグインが配置されています。
私が被害を受けた際は管理画面へのログインが出来なくなっていた為、
FTPソフトなどで調査し特定を行いました。
配置されたファイルの削除 / 汚染されたファイルの修復を行う
- [ UBH CSU ]ディレクトリの削除
- 各ディレクトリに配置された [ 0x.php ]の削除
- 改ざんされた [ .htaccess ]の修復
- 謎に配置された[ .htaccess ]の削除
上記を行い対処をします。
ただ、どれかを取りこぼすとゾンビのように復活し再汚染が始まるのもこのマルウェアの特徴です。
私が被害に遭った際は手作業でファイルの削除と修復を行っていましたが、
取りこぼしが合ったせいでかなり手こずりました。
DBとWordPressファイルを削除し、感染前に復元する
最終的に私が取った手段はこれになりました。
WordPressファイルを[ wp-admin / wp-content / wp-include]や[ wp-config.php ]を含めた全てのWordPressファイルをサーバー上から一度削除します。
また、プラグインがDBにデータを残している可能性も考慮し、サーバー上のDBも削除し再構築し復元することにしました。
この対応を行ってからはゾンビのように復活することもなく、綺麗に抹消出来ました。
日頃バックアップをしっかり取得しておいて本当によかったと心から思った瞬間です。
被害を最小限にするための対策
今回はたまたま被害は最小限で済みましたが、自分含めたWordPress開発に携わる方々は以下の点を意識して「万が一に備える」ことを徹底したほうがいいと思います。
1サーバー/1サイトの環境でサイトを管理する
今回1サーバー複数サイトの環境でサイトを管理していたので、
1サイトが攻撃されて複数サイトに感染が広がるというかなり大変な状況になってしまいました。
マルウェアが階層を登って他のサイトディレクトリにまで侵入をしてくることが予想出来ていなかったので、今回いい勉強になりました。
Webサイトを管理する際はなるべく「1サーバーにつき1サイト」の環境で管理することを個人的には推奨します。
バックアップを定期的に保管する
今回被害を最小限に防げたのはまさにこのおかげです。
バックアップは必ず定期的に保管するようにしましょう。
- WordPress全体のファイルのバックアップ
- DBのバックアップ
上記を定期的に取得し保管するだけで、何か起きた際の復元が容易になります。
週に1回、最低でも月に1回ぐらいの頻度でバックアップを取っておくと安心です。
FTP情報 / サイトログイン情報のセキュリティを強固にする
[ UBH CSU ]に関してはプラグインとして配置出来てしまうマルウェアですが、それらを配置される経路は主に下記になります。
- FTP接続されディレクトリに直接マルウェアを配置
- WordPress管理画面へ不正アクセスし、プラグインのzipファイルとしてマルウェアを配置
これらの手順を防ぐためにも、WordPressの管理画面のセキュリティを強固にしておきましょう。
また、FTP情報も漏洩しないように、
接続の際は必ず暗号化した通信を利用するようにして、アカウント情報もしっかり管理しましょう。
特に、WordPressの管理者権限は安易に渡さないようにしましょう。
私が被害に遭った際の感染経路
さて、余談ですが私が実際に被害に遭った際の
「そもそもなぜ感染してしまったのか?」という点についてお話します。
事の発端は、
クライアントの要望でWordPressサイトを他のサーバーへ引っ越すという要望があったため、
「サブFTPアカウントを発行するからWordPressデータはそちらでダウンロードして新サーバーへ配置してくれ」と作業依頼をしていたところから始まりました。
発行したサブFTPアカウントのアクセス可能なディレクトリ内に、ピンポイントでマルウェアを配置されてしまったため、恐らくサブFTP情報引き渡し時に通信を盗聴されたか、あるいはクライアントのFTPアクセス時に通信を盗聴されたかのどちらかが主な原因だと推測しています。
今振り返ると、我ながら馬鹿な対応をしたなぁと反省しかないですが、
当時はこんな被害があるとは思ってなかったので中々いい経験になりました(笑)
まとめ
今回はWordPressを狙ったマルウェア [ UBH CSU ]について解説を行いました。
マルウェアに限らず、悪意ある攻撃は「攻撃される前の日頃の対策」が重要です。
- 定期的なバックアップの取得
- 各種ログイン情報 / 権限の見直し
など、定期的にセキュリティチェックを行い、万が一の際に備えておきましょう!
コメント