本家のお世話-#41。(Malwareの話)

投稿アップデート情報  追記(6/23)

 臨時サーバには,ウイルス対策ソフトとして,Avira Free Antivirusを入れてある。今朝,これが34個もの「PHP/WebShell.A.1[virus]」を報告してきた。検知場所は,C:\WINDOWS\Tempのphpxx.tmpというわけで,現時点で悪さをしているわけではないらしい。

 当然削除したが,せっかくCentOS6の練習機を建てたので,これでちょっとphpxx.tmpの中を覗いてみた。初体験。こんな感じ。
—————————————————————————————————————————
   <?php
   $auth_pass = "";
   $color = "#df5";
   $default_action = ‘FilesMan’;
   $default_use_ajax = true;
   $default_charset = ‘Windows-1251′;
   preg_replace("/.*/e","\x65\x76\x61\x6C\x28ーーーー省略1ーーーー\x63\x6F\x64\x65\x28
   ’~~~~省略2~~~~’
   \x29\x29\x29\x3B",".");
   ?>
—————————————————————————————————————————
 見たところ,普通のPHP Script。ただし,本体部分は,エンコード後圧縮されている。
 Windows-1251 は キリル文字で,この文字コードで保存されているらしい。
 \x65\x76\x61\x6C\x28ーーーー省略1ーーーー\x63\x6F\x64\x65\x28 の部分をデコードすると,
eval(gzinflate(base64_decode( 同様に,\x29\x29\x29\x3B の部分は ))); になる。本体部分(~~~~省略2~~~~)は,素人が生半可にいじるのは危ないかなと思い,何もしなかった。何か結構,深刻なタイプのBackdoorで Windows にも Linux にも影響があると書いてあるし。

 どこから着弾したのかと思って調べてみたが,よく分からない。よく分からないが,Apacheのログに,
   78.85.9.30 – – "POST ~/uploadify.php" 404 "Googlebot/2.1" <<– 関係部分のみ抜粋
というのが,phpxx.tmpと同じ時間帯にズラッと並んでいた。自鯖上には uploadify.php は1枚もないから,HTTPエラーコードはすべて404になっている。これは失敗しているけど,開いているポートから,tmpファイルとして送り込まれたということだろうか。この辺りのことが,もともとよく理解できていないのだが,今回調べてもまだよく分からない。ご存知の方は,ご教示いただけるとありがたいです。

 ところで,uploadify.php だが,6月9日づけで,WordPress Exploit Alert: Uploadify.phpという記事が見つかったから,脆弱性があるらしい。既に,パッチが出ているのかどうかははっきりしない。

 書き忘れるところだった。UAがGooglebotになっているが,逆引きすると,ホスト名は a30.sub9.net78.udm.net になるので,詐称は明らかなようだ。

追記(6/23):
 今日,WordPress Exploit Alert: Uploadify.phpを見に行ったら,新しい情報が書き込まれていた。関係のある方は,参考にされるといいかもしれない。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください