はじめに
昨年末より、WordPressのスライダープラグイン "RevSlider" に対して、SoakSoakというマルウェアでの攻撃が確認されているようです。
攻撃方法
攻撃者はまず、"revicons.eot" や "wp-config.php" のファイルが存在するか、アクセス可能であるかを確認するために、以下のようなリクエストを送信します。
GET /wp-content/plugins/revslider/rs-plugin/font/revicons.eot HTTP/1.1″ 200
GET /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php HTTP/1.0″ 202
ファイルの存在が確認できた場合、攻撃者は対象サイトに脆弱性のある Revslider が利用されていると判断し、Revslider の脆弱性を利用してファイルをアップロードしようとします。
“POST /wp-admin/admin-ajax.php HTTP/1.1″ 200
この攻撃が成功した場合、/wp-content/plugins/revslider/temp/update_extract/revslider/update.php
へアクセスする為に、 Filesman と呼ばれるバックドア(一度侵入に成功した攻撃者が、後から何度も侵入するために仕掛けておく秘密の入り口)が仕込まれます。
“GET /wp-content/plugins/revslider/temp/update_extract/revslider/update.php HTTP/1.1″ 200
そこから、攻撃者はswfobject.jsファイルを変更して2つ目のバックドアを仕込み、サイト訪問者をsoaksoak.ruへリダイレクトするマルウェアを注入します。
対策
対策としてはやはり基本的なことですが、以下のような手法が考えられます。