WordPressのフリーテーマに仕込まれるRFI攻撃の足がかり

WordPressはTwentyTenやTwentyElevenなどのデフォルトのテーマのほかに、図のように他人がアップロードされたフリーのテーマを利用することで、見た目を手軽に変えられる。

image

ところが、そうしてフリーでアップロードされるテーマの中に、RFI attackの足がかりとなるようなphpコードが含まれていることがあるんじゃないか?ってのが今回の話。

最近、Magnificentやsuffusionとかいうテーマのtimthumb.phpの後に、?src=http://攻撃スクリプトのURLというような形でリモートphpファイルをインクルードさせ、WordPressサイトのサーバ権限で何かさせようって魂胆のアクセスが散見されるようになった。

つまり、リモートのphpファイルをインクルードして実行する機能を持たせたphpを含んだテーマを配布した上で、そのテーマを適用したサイトを仕込んだphpを足がかりにして攻撃したり、踏み台として利用しようとする輩がいるらしい。

どうやら、フリーのテーマを安易に適用してよい時代は終わったようだ。

まあ、ひょっとするとテーマを自分で配布している訳ではなく、そのような脆弱性を持ったテーマを見つけて、それを適用しているサイトがないかクロールしているのかもしれない。

image

ただ、昨日はMagnificentだったんだが、それはテーマ検索で見当たらず、今日のログにあったsuffusionについては、現時点ではテーマ検索でヒットするという感じなので、消されても違うテーマをアップすれば良いって感じではある。

いずれにせよ冒頭画像のように普通にテーマ検索でヒットするとなると、なにも知らない人がテーマを適用する可能性があるということだ。

で、リモートに置いてある攻撃スクリプトも普通のファイルじゃなくて、左図のようにヘッダ的にはGIF画像と見せておいて中身はphpというような形式で、一見するとpicasaっぽいけど違うURLに置かれており、さらにスクリプトもbase64でエンコードてローテート掛けて更にgzipしたりして、マルウェア感知されないよう、内容を隠匿しようとしているようだ・・・小賢しいっていうか、うぜぇ。(‘A`)

RFI攻撃の仕組み自体は、ITproとかのサイトに書いてあるんで割愛するが、httpをttpに変えたログが下記。微妙にパスがずれてるぞってのはさておき意図は明白だ。

WordPressの場合はテーマに限らずプラグインなどもフリーで配布されているものが一般的に使われている訳で、WordPressの自由なphp配布形態を利用してRFI攻撃を仕掛けてこようとする者が居るというのは、残念なことだ。PC同様、利用者の人数が多くなれば、遅かれ早かれ狙われる運命だったともいえる。

とりあえずIP BANするし、下記のようにphp.iniで外部phpを読まない設定にはしてあるけれど、

基本的に、デフォルトテーマ以外は信用しないとか、あんまり実績のない新しいプラグインをほいほいと適用しないようにするとか気を付けるしかないな。┐(´~`;)┌


カテゴリー: ネット タグ: , , , パーマリンク

    WordPressのフリーテーマに仕込まれるRFI攻撃の足がかり への2件のフィードバック

    1. 詠み人知らず のコメント:

      前にいじってみたテーマは、JavaScriptに仕掛けが仕込んでありました。
      さらにそのコード、base64だったかでエンコードされてて、パッと見全くちんぷんかんぷん。
      フッター部分に仕込んであったんですが、フッターを単純に取っ払ったり、他のに変えると警告が出たりして、手が込んでました。

    2. すず のコメント:

      WordPressにアップロードされるファイルがマトモかどうかチェックが終わって初めて公式サイトで公開できる形にしないとダメだと思いますが、基本的にはフリー&自己責任の世界になっているので、スマフォなどのアプリ・ストアのような対応は今後も望めないのでしょうから、こういう事が常態化してしまうと困ってしまいますね。

    コメントを残す

    メールアドレスが公開されることはありません。