Gumblar Breaks WordPress blogs and other complex PHP sites
So what happens if both index.php and wp-config.php are infected with the gumblar backdoor scripts? Since Gumblar injects identical backdoor scripts into files on the same site, they’ll have declarations of identically named functions, which PHP doesn’t allow.
どうやら、PHP で構築された WordPress などのサイトに感染するタイプの Gumblar ウィルスの亜種が出現しているようです。影響を受けるのは WordPress や Joomla, Drupal などの PHP ベースで書かれたシステムの他にも、PHP を複合的に使用しているサイト全てとのこと。MovableType は Perl ベースですが、動的生成処理は PHP で書かれています。また、サイドバーの共通化などのために、PHP ファイルを生成している場合があるので注意が必要です。
今回、PHP を感染経路に利用する Gumblar の亜種は、base64_decode 関数で復号化された PHP コードを eval 関数で発火させるタイプのようです。そして、実行された不正な PHP コードは、サーバ上の JavaScript ファイルにウィルスの実行コードを注入します。結果的に、ウィルスに感染させられた JavaScript が先の脆弱性を突いてマシンに感染するようです。ただし、参照元の記事によると、PHP コードのバグによって、ウィルスは機能していないとありますが、今後登場する亜種では改善されているでしょう。
PHP として動作するファイルは多岐に渡ります。拡張子が .php のファイルだけでなく、サーバ設定によっては .html などのファイルも PHP スクリプトとして動作することがあります。公開されているファイルだけでなく、require される全ての PHP スクリプトファイルに対して、検査を行う必要があります。
簡単なシェルコマンドで今回の Gumblar の亜種を検出するには次のようにします。
今後、更に登場する亜種では別の暗号化・発火方法が採用されることも考えられます。その場合、上のコマンドでは検査できません。
English