【19万5千サイトが感染 】セキュリティボット「Stealrat」あなたのWordPressは大丈夫?Macで確認する方法

トレンドマイクロ社セキュリティブログ

8月8日にWordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法 : I believe in technologyさんから、スパムポット「Stealrat」への感染確認をすべきという記事が公開されました。

2013年4月~7月末の期間で、約19万5千もの改ざんされたサイトを確認できたこと、WordPress・Joomla・Drupal などの CMSの脆弱性を利用して改ざんしているとの事です。

サイト管理者がこのスパムポットに不正改ざんされていないか?を確認すべきと、呼びかけています。

Stealratの特徴

  • ファイル名は「sm13e.php あるいは sm14e.php」
  • ただし、ファイル名は変わる可能性が高い
  • 特定できる文字列がスパムポットファイルにある

これらが特徴です。今回は最後の特徴のある文字列を検索することで、感染確認を行いました。ここではMac OSX での確認方法を書きます。黒い画面でガリガリするより、ソフトを利用することにしました。

特徴ある文字列

  • die(PHP_OS . chr(49) . chr(48) . chr(43) . md5(0987654321));
  • die(PHP_OS . chr(49) . chr(49) . chr(43) . md5(0987654321));

これら2つです。2つの違いは途中のchr(48)とchr(49)の「8」と「9」だけです。検索する時には”「8」か「9」のどちらか”があればに設定しました。

なお、トレンマイクロさんのブログでは”半角スペース”が無い文字列でした。なので、検索する時にはどっちでもヒットするようにしました。

必要なソフトはTextWrangler

エディタアプリです。複数のファイルを一度にキーワード検索できるビューティーホーなアプリです。これを使います。

TextWrangler TextWrangler価格: 無料
( Storeにてご確認ください。)

カテゴリ: 開発ツール, 仕事効率化
App Storeで詳細を見る

アプリをダウンロードする

前段取り

FTPでごっそり全ファイルをローカルにダウンロードします。サーバーを直接検索する方法もあるとは思いますが、シンプルに行きます。いったん落としてしまいます。感染がなければバックアップにもなります。ご安心を。また、サーバーを直接操作しないので、事故も防げます。

ファイル数が多いと検索にかなりの時間がかかります。簡単にできるので、そういうことでご理解ください。

検索方法

アプリを起動させて、メニューバーの「Search」から「Multi-File Search…」をくりっくします。

Dro

なかほどの「Grep」にチェックを入れます。次に「Other」をクリックします。

Text02

フォルダ選択 画面が開きます。検索したいフォルダを指定します。写真はテストでスパムポットファイルを置いたフォルダを指定しました。

Text03

Findのカラムに下のコマンド文字列を入力します。正規表現です。このままコピーして貼付けてください。”エクスペリアームス”と一緒です。大丈夫。

[code] die(PHP_OS *. *chr(49) *. *chr(4[89]) *. *chr(43) *. *md5(0987654321 [/code]

次に「Find All」をクリックします。

Text005

深く考えずに、3Gのファイルを検索かけたら、かれこれ1時間経つのですが、まだ終りません。

Text006

ピノを買いに行ったり、炭酸水を楽しんだり、スタバに読書に行くなりです。時間はかかりますが、全ファイルをチェックできます。

検索結果です。「0 occurrences」となっています。検索してヒットしたファイルは「0個」でした。下に出ているメッセージは「圧縮(zip)ファイルが1つあったから、検索できなかったのでよろしく」という事です。今回のケースでは問題なしです。なにより、これは親指シフトのOrzレイアウトの設定ファイルで、私自身がアップしてますから。

Text010

見つかった場合

occurrences(あった)!とメッセージが表示されて、文字列を含むファイルが表示されます。

Drtext008

駆除方法ですが、トレンドマイクロさんのブログから、おおひがしは見つけれませんでした。感染してても対策が分かんないのです。

どなたかご存知ならご指摘ください。

えっ、勧めない方法はあります。WordPressのファイルを消して、もう一度インストールすると思います。ただ、これはサーバーとかいろいろ兼ね合いもあるし、何より間違うと「ブログ辞めるわ」となってしまうので、真似しないでください。よろしくです。

テスト用のスパム

スパムポットファイル sm14e.phpは下のサイトから持ってきました。


Drtest
Via:http://www.deependresearch.org/ | sm14e.php

参考サイト

Droreynotch
Via : I believe in technology|WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法

Drtmicro
Via:トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)| CMSの脆弱性を悪用するスパムボット「Stealrat」による感染を確認するには?

TextWrangler参考サイト

Drtext0a
Via:Object for cutie|TextWrangler

正規表現の入り口

サルにもわかる正規表現入門

オライリーです

詳説 正規表現 第3版
詳説 正規表現 第3版

posted with amazlet at 13.08.08
Jeffrey E.F. Friedl
オライリージャパン
売り上げランキング: 43,938