چند وقت پیش متوجه یک Malware (تروجان) تزریق شده در برخی وبسایتهای WordPress (وردپرس) که خسارات زیادی بههمراه داشت شدیم.
این تروجان بهکمک آسیبپذیری موجود در در پلاگین MailPoet به وردپرس تزریق و فعال میشود.
منحصر بهفرد بودن این تروجان به دلیل تزریق کورکورانه بارهای مخرب به وردپرس است، چیزی که باعث خرابی و از دسترس خارج شدن وبسایت میگردد.
جستجوهای ما تا این لحظه در ارتباط با این تروجان نتایج زیر را در بر داشتهاست:
- هدف این حمله وبسایتهای محبوب و پربازدید وردپرس میباشد.
- سایتهایی که تا کنون مورد حمله قرار گرفتهاند از نسخههای قدیمی وردپرس یا پلاگین استفاده میکردند و یا رمز مدیر سایت ضعیف بودهاست.
- سیستم کاری تروجان هنوز مبهم است اما یکی ار کارهای آن تزریق اسپم برای هک وبسایت است.
- تنها هسته وردپرس حمله نمیکند، بلکه قالب و پلاگینها نیز در اهداف این تروجان قرار دارد.
وبسایتهایی که به این تروجان آلوده شدهاند پیغامهای خطای متفاوتی بهجای محتوای سایت نمایش دادهاند، بهصورت کلی اگر خطایی مشابه خطای زیر در وبسایت خود مشاهده کردید، به احتمال زیاد وبسایتتان آلوده شدهاست.
Parse error: syntax error, unexpected ‘)’ in /home/user/public_html/site/wp-config.php on line 91
تنها راه شناخته شده پس از شناسایی و حذف تروجان برای ترمیم آسیبها، بازگردانی آخرین نسخه سالم پشتیبان سایت است.
این تروجان هر بار کد تصادفی مانند زیر ایجاد و به وردپرس تزیق میکند:
q7825)3of:opjudovg<~%x5c%x7824!%x5c%x782421787825!|!*!***b%x5c%x7825)…
ایرانسرور همچنان به بررسی در بارهی آسیبپذیری پلاگین MailPoet ادامه خواهد داد؛ اگر به سایت خود در زمینه این آلودگی مشکوک هستید، تیم امنیت ایرانسرور میتواند وبسایت شما را بررسی و در صورت نیاز پاکسازی نماید.
ساعت کاری بخش پشتیبانی ایران سرور: از ساعت ۷ الی ۲۲ و روزهای تعطیل از ساعت ۹ الی ۱۷
ساعت کاری بخش فـــروش ایران سرور: از ساعت ۸ الی ۱۶
- شماره تماس مشهد : 37673600-051 (4 خط)
- شماره تماس تهران : 22092037-021