ハッキング対策|ハッカーが使う不正プログラムとは

不正プログラムを仕込む方法

WEBサイトは、常にセキュリティリスクに晒されています。

今回は、実際にどのようなプ不正ログラムが仕込まれるのか、

具体例をご紹介します。

 

実際にサーバーに仕込まれたPHPファイルの例

 

この例では、base64という形式でプログラム言語を変換し、

さらに、Arrayで文字列を変換し、ソースコードを暗号化しています。

この暗号化したプログラムを、最後にeval関数で実行しているのです。

※base64をデコードして、プログラムを読みたい場合は、

このようなサイトで変換して、解読する必要があります。

 

不正ファイルの検出方法

このようなPHPファイルが、サーバーに仕込まれるのは、

様々な理由があります。

プログラムの脆弱性、古いバージョンのプラグイン使用、その他セキュリティ不備、等々。

不正に仕込まれたファイルは、1個の場合もあれば、数百数千ファイルに渡る場合もあります。

一つ一つファイルを開いて、書き換えられていないか確認するのは不可能です。

 

方法としては、

①ウィルスソフトでチェックする

②Shellコマンドでチェックする

の2通りがあります。

 

ウィルスソフトでチェックする

サーバー上のファイルをローカルに保存し、ウィルスチェックソフトにかける方法です。

自分のパソコンにインストールした、ウィルスソフト(ウィルスバスターやNortonなど)の機能で、

該当ファイル一式を診断します。

ただし、全て検出しきることが出来ない場合もあります。

 

Shellコマンドでチェックする

Shellコマンドで特定の文字列を検索する方法です。

たとえば、「eval」や「64_decode」という文字列は、不正プログラム実行で多用されます。

このような「悪さをしていそうな文字列※」を指定し、検索します。

↑「64_decode」という文字列がphpファイルに存在しないか検索するスクリプト例。

※他にも、「istart」や「@copy」、「FilesMan」など多数あります

 

また、多くの不正ファイルは、PHPファイルが仕込まれることが多いのですが、

たとえば、画像(image)フォルダには、本来PHPファイルは存在しないはずです。

こういうパターンをチェックする場合は、

↑imageフォルダ内にPHPファイルが存在していないかどうかチェックするスクリプト例。

 

ハッカーたちは、こういったプログラムを使っています。

セキュリティ被害に遭ってしまった場合のご参考に。