PHP バックドアおよび Web シェルとは?削除方法

最近では、PHP は Prestashop、WordPress、Magento などのほとんどすべての一般的な CMS を動かすメイン エンジンです。このサーバー側のスクリプト言語は非常に人気があり、今日のインターネット上の Web サイトのほぼ 80% で使われています。ただし、PHP を使用するサイトは、1 つのエクスプロイトがすべてのサイトで機能する可能性があるため、ハッカーに広く狙われています。多くの場合、舞台裏で悪意を持って機能する巧妙な手法が展開されます。 PHP Web シェル バックドアは、Web サイトに密かに感染するように設計された悪意のあるスクリプトまたはプログラムの 1 つです。

PHP Web シェル バックドアとは何ですか? なぜ感染するのですか?

PHP Web シェル バックドアは基本的に、サイトでさまざまな悪意のあるアクションを実行するように設計された悪意のあるスクリプトおよびプログラムです。単純な Web シェルは、コマンドベースのスクリプトです。 PHP Web シェルを使用すると、攻撃者は PHP サーバーの管理をリモートで管理できます。攻撃者は、インターネット上の URL を使用してアクセスできます。より複雑な Web シェルもメモリに直接アクセスできます。

これらの感染は、永続的なアクセスを維持するように設計されているため、クリーンアップ後でも再発することがよくあります。ほとんどのバックドアは、検出を回避するためにさまざまな難読化技術を使用しています。複雑なアルゴリズムを実装してメモリに直接隠すものさえあります。

PHP Web シェルを Web サイトに常駐させる方法は多数あります。 ただし、この感染を可能にするいくつかの一般的なセキュリティ問題:

• 弱いパスワードまたはデフォルトのパスワード
• 無制限の PHP ファイルのアップロード。
• 無効な入力を許可する PHP サイトの不適切なコーディング
• 古い PHP バージョン。
• 不適切な PHP 構成。
• 機密ファイルの権限が弱い
• 不適切なエラー報告とコードの開示

関連記事 – PHP のセキュリティ問題の解決

PHP Web シェル バックドアでできることは?

一般的な PHP Web シェル バックドアにより、攻撃者は PHP サーバー上で管理者のようにコマンドを実行できます。場合によっては、攻撃者が権限の昇格を試みることもあります。 この砲弾を使用して、攻撃者は次のことができます:

• サーバー上のあらゆる種類のデータにアクセスする
• サーバーを使用して暗号通貨を採掘することができます。
• サーバーをボットに変えて、攻撃者からの指示に従って大量のスパムをチャンクアウトすることができます。
• そして、もっと邪悪なことを！

関連記事 – 究極の PHP セキュリティ プラクティスとマルウェア除去ガイド

PHP Web Shell バックドア:コード分析

一般的な PHP Web シェル バックドアは、次の手順で動作します:

最初のステップは、システム変数を初期化することです。その際、Web シェルは、検出を回避するためにエラーが出力されないようにします。これは x_die を作成することによって行われます 関数。エラーが発生すると、問題に関するメッセージがこの関数を介して渡されます。次に、この関数は PHP の die() 関数を使用して、現在のスクリプトを終了します。

次のステップは、Web シェルが PHP サーバーでコマンドを実行できるかどうかを確認することです。このために、汎用 PHP Web シェルは、exec(), system() のような PHP のさまざまな実行機能をチェックします。 など

その後、PHP Web シェルはシステム構成を検証し、それらが Web シェルによって変更できるかどうかを確認します。構成関数が存在しない場合は、単に「can not config」を渡します。 ‘ x_di へのメッセージ e() 関数。

その後、PHP サーバーのセーフ モードもチェックします。多くの場合、PHP のセーフ モードは共有サーバーにデプロイされます。これは、特定のファイルを開いたプロセスが検証済みのユーザーによって実行されていることを検証する機能です。セーフ モードが有効になっている場合、Web シェルはそれ以上の実行を停止します。

if(x_ini_get(‘safe_mode’)){x_die(‘can not exec:safe mode active’);}

これらの条件がすべて満たされると、Web シェルは Windows システムの Superfetch サービスを使用してコマンドを実行します。

PHP Web Shell バックドア:検出とクリーンアップ

<オール>

すべての PHP ファイルのソース コードを調べて、一般的な PHP Web シェル バックドアに感染しているかどうかを確認してください。

手動で検索するのが難しい場合は、Grep を使用してください コマンド .

grep コマンドを使用して、フォルダ内の Web シェル コードのダンプを次のコードで検索します。
grep -r "dump of web shell" /folderToSearch/

この方法を使用すると、一般的な Web シェルを検出できます。ただし、この方法には、1 種類の汎用 Web シェルしか検索できないため、独自の制限があります。

他の Web シェルを検索するには、ソース コードを知る必要があります。この問題を解決するには、GitHub で無料で入手できる Web シェル検出ツールを使用できます。

疑わしい HTTP リクエストがないかログをチェックして、PHP ウェブシェルを検出することを忘れないでください。 Web シェルを見つけたら削除してください。

PHP Web シェルのダンプが機密ファイルで見つかった場合は、それをコメントアウトして専門家に連絡し、マルウェアの削除と分析をさらに依頼してください。

PHP Web Shell バックドア:軽減策

<オール>

PHP のバージョンを最新に保つ

デフォルトのパスワードや脆弱なパスワードは使用しないでください。

サイトの設定ミスがないか常にチェックしてください。

誰でもあなたのファイルを編集できるようになるため、ファイルのパーミッションを 777 に設定しないでください!

PHP ファイルを開発する際は、安全なコーディング方法に従っていることを確認してください。

総合的な侵入テストを実施して、PHP サイトの脆弱性を発見する

結論

Web シェルを削除するだけでは、サイトを保護するのに十分ではありません。攻撃者は、サイトの脆弱性を利用して新しいシェルをアップロードすることができます。平均的なユーザーにとって、この脆弱性を検出するのは簡単ではないかもしれません。そのため、セキュリティ ソリューションを使用してこのプロセスを自動化することをお勧めします。

Astra Security の自動マルウェア スキャナーは、多数の PHP Web シェルとマルウェアをワンクリックで検出します。さらに、Astra Security ファイアウォールは Web サイトを監視し、今後のセキュリティの脅威をブロックします。ニーズに合わせてプランを選択し、今すぐ始めましょう!