700 以上の WordPress および Joomla Web サイトが、ionCube でエンコードされた正当なファイルに偽装するionCube マルウェアに感染しています。

IonCube は、PHP エンコーディング、暗号化、難読化、およびライセンス機能を使用してファイルを暗号化および保護するために使用される、古くて強力な PHP エンコーダーです。ライセンス費用のために、通常、ionCube は悪意のある使用の候補にはなりません。

しかし、攻撃者は、ionCube でエンコードされたファイルに似たマルウェアを偽装して、さまざまな Web サイトを侵害する方法を発見しました。影響を受けたサイトの中には、WordPress、Joomla、および CodeIgniter に基づくサイトがありました。このマルウェアにより、ハッカーは脆弱な Web サイトにバックドアを作成できるため、脆弱なサイトのユーザーからデータを盗むことができます。

ionCube マルウェア感染の兆候

研究者は、PHP サーバーで実行されている無害な名前の 7000 以上の偽のionCube ファイルを発見しました。研究者によると、正規のionCubeファイルにはほとんど行がありませんが、偽物にはそうではありませんでした。さらに、すべての正当な Ioncube ファイルは、ioncube.com ドメインを参照しています。偽のファイルではそうではありませんでした

これは、偽のionCubeファイルがどのように見えるかです.

一方、正規のionCubeファイルは次のようになります:

さらに、研究者は、実際のファイルとは異なり、英数字と改行のみで構成される PHP 終了タグの後にコード ブロックを発見しました。研究者によると:

調査の結果、700 の感染サイトが発見され、合計で 7,000 を超える感染ファイルが発見されました。基本的に疑わしい難読化ファイルである「diff98.php」や「wrgcduzk.php」などの PHP ファイルは、正規の ionCube でエンコードされたファイルとほぼ同じように見えました。

デコードすると、偽のionCubeファイルはionCubeマルウェアで構成されています。理論的には、注入された悪意のあるコードは、PHP を実行している Web サーバーに基づくあらゆる Web サイトに感染する可能性があります。

緩和する方法

多数のマルウェアのバリエーションが存在することを考えると、偽のionCubeファイルと正規のionCubeファイルを区別するのは難しい場合があります。さらに、開発者がionCubeでエンコードされたファイルを特別にインストールしていなくても、サーバー上でそのようなファイルを見つけた場合、感染している可能性があります. 1 つのサイトで最大 100 のわずかに異なるマルウェアの亜種を確認するのが一般的です。さらに、異なるバージョンの PHP との相互互換性は最小限であり、マルウェアとして使用される可能性が低くなります。

ionCube マルウェアは軽減できます。研究者は、侵害の兆候として、ionCube でエンコードされたファイルの存在を確認することを管理者に推奨しています。確実に検出された場合、脅威を完全に排除するために、サイト全体のスキャンと Web アプリケーション ファイアウォール (WAF) の採用が必須です。

無料でダウンロード 開発者向けのセキュア コーディング プラクティス チェックリスト。サイトがコーディング セキュリティのすべての側面に準拠していることを確認します。

このようなオンラインの脅威から Web サイトをさらに軽減するには、Astra の Web セキュリティ ファイアウォールをインストールしてください。