トレンドマイクロ社セキュリティブログ
8月8日にWordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法 : I believe in technologyさんから、スパムポット「Stealrat」への感染確認をすべきという記事が公開されました。
2013年4月~7月末の期間で、約19万5千もの改ざんされたサイトを確認できたこと、WordPress・Joomla・Drupal などの CMSの脆弱性を利用して改ざんしているとの事です。
サイト管理者がこのスパムポットに不正改ざんされていないか?を確認すべきと、呼びかけています。
Stealratの特徴
- ファイル名は「sm13e.php あるいは sm14e.php」
- ただし、ファイル名は変わる可能性が高い
- 特定できる文字列がスパムポットファイルにある
これらが特徴です。今回は最後の特徴のある文字列を検索することで、感染確認を行いました。ここではMac OSX での確認方法を書きます。黒い画面でガリガリするより、ソフトを利用することにしました。
特徴ある文字列
- die(PHP_OS . chr(49) . chr(48) . chr(43) . md5(0987654321));
- die(PHP_OS . chr(49) . chr(49) . chr(43) . md5(0987654321));
これら2つです。2つの違いは途中のchr(48)とchr(49)の「8」と「9」だけです。検索する時には”「8」か「9」のどちらか”があればに設定しました。
なお、トレンマイクロさんのブログでは”半角スペース”が無い文字列でした。なので、検索する時にはどっちでもヒットするようにしました。
必要なソフトはTextWrangler
エディタアプリです。複数のファイルを一度にキーワード検索できるビューティーホーなアプリです。これを使います。
前段取り
FTPでごっそり全ファイルをローカルにダウンロードします。サーバーを直接検索する方法もあるとは思いますが、シンプルに行きます。いったん落としてしまいます。感染がなければバックアップにもなります。ご安心を。また、サーバーを直接操作しないので、事故も防げます。
ファイル数が多いと検索にかなりの時間がかかります。簡単にできるので、そういうことでご理解ください。
検索方法
アプリを起動させて、メニューバーの「Search」から「Multi-File Search…」をくりっくします。
なかほどの「Grep」にチェックを入れます。次に「Other」をクリックします。
フォルダ選択 画面が開きます。検索したいフォルダを指定します。写真はテストでスパムポットファイルを置いたフォルダを指定しました。
Findのカラムに下のコマンド文字列を入力します。正規表現です。このままコピーして貼付けてください。”エクスペリアームス”と一緒です。大丈夫。
[code] die(PHP_OS *. *chr(49) *. *chr(4[89]) *. *chr(43) *. *md5(0987654321 [/code]
次に「Find All」をクリックします。
深く考えずに、3Gのファイルを検索かけたら、かれこれ1時間経つのですが、まだ終りません。
ピノを買いに行ったり、炭酸水を楽しんだり、スタバに読書に行くなりです。時間はかかりますが、全ファイルをチェックできます。
検索結果です。「0 occurrences」となっています。検索してヒットしたファイルは「0個」でした。下に出ているメッセージは「圧縮(zip)ファイルが1つあったから、検索できなかったのでよろしく」という事です。今回のケースでは問題なしです。なにより、これは親指シフトのOrzレイアウトの設定ファイルで、私自身がアップしてますから。
見つかった場合
occurrences(あった)!とメッセージが表示されて、文字列を含むファイルが表示されます。
駆除方法ですが、トレンドマイクロさんのブログから、おおひがしは見つけれませんでした。感染してても対策が分かんないのです。
どなたかご存知ならご指摘ください。
えっ、勧めない方法はあります。WordPressのファイルを消して、もう一度インストールすると思います。ただ、これはサーバーとかいろいろ兼ね合いもあるし、何より間違うと「ブログ辞めるわ」となってしまうので、真似しないでください。よろしくです。
テスト用のスパム
スパムポットファイル sm14e.phpは下のサイトから持ってきました。
Via:http://www.deependresearch.org/ | sm14e.php
参考サイト
Via : I believe in technology|WordPress利用者は至急確認を! 19万5千サイトを改ざんしたボット「Stealrat」の感染確認方法
TextWrangler参考サイト
Via:Object for cutie|TextWrangler
正規表現の入り口
オライリーです
オライリージャパン
売り上げランキング: 43,938