WordPressの野良テーマに仕込まれたウイルスの例
たまたま、野良テーマの一つを調べる経験をすることができたので記録しておきます。
ことの始まりは、
「このテーマを使いたいんだけど、やり方がよく分からん。教えてくれ。」
との相談を受けたことがきっかけ。
ちなみにかなりおしゃれで高機能なテーマ。
親しい相手からの相談だったので完全に油断していたのですが、そのテーマの配布サイトを見たところ、作者のサイトでは有料で販売しているのに、そのサイトでは無料で配布しています。これでやっと警戒心のスイッチが入り、これがいわゆる「野良テーマ」であることに気がつきました。
AntiVirusというプラグインを試してみたところ、警告が出ました。
このプラグインについて調べてみたら、問題ないものまで警告を出すことがよくあるとの情報がありました。
該当のコードを一行だけ示してくれるので、Dreamweaverの検索機能を使って該当箇所をチェックしました。
警告の一部は、外部の動画サイトとリンクさせるような機能のあるところとかだったので、まあそれらは大丈夫だろうと判断。
しかし、ただ一箇所、"log","pwd","user_email"など、PHP初心者レベルの私でも「これなんか危ないデータを引っ張り出してないか?」と感じるコードがありました。
見つかったのは、functions.phpファイルの先頭部分。
そのコードに使われている関数とかをいろいろ調べてどんなプログラムなのか解読しました。
その結果、この関数は、ユーザーがWordPressにログインしたら、その後のログ、パスワード、電子メール、表示名、明確には分からなかったものの管理者権限の何かと、WordPressのサイトのURLの情報をあるサイトに送信することが分かりました。そして送信先のサイトからウイルスプログラムを作成し侵入させるという手順のようです。
このウイルスの作者は、有料の良質なWordPressテーマを入手後、functions.phpの先頭にこの関数を追加し、無料で配布しているのでしょう。
今回、スパイウェアの実物を初めて見ました。たった20行のコード。それが当たり前のようにネット上に転がっているというのはこわいですね。