آموزش

هشدار! حمله یک ویروس ناشناس به WordPress 4.8

یک بدافزار جدید به WordPress 4.8 حمله کرده است. هنوز ماهیت این حمله بشکل دقیق مشخص نشده اما خوب است بدانید مهاجمی که پشت این حمله قرار دارد از مقاصد گوناگون و با IP های مختلف دست به حمله میزند و بعلت ریپورت شدن، مدام مبداء حمله را تغییر میدهد.

در حال حاضر دو رفتار از این ویروس رصد شده است:
۱- ارسال اطلاعات احراز هویت کاربر/کاربران لاگین شده به مقصد دور.
۲- تزریق کد در فایلهای wp-tmp.php و wp-feed.php احتمالا بمنظور تبیلیغات یا ماینینگ.

در صورت آلوده شدن موارد زیر را برای حذف ویروس فوق انجام دهید:
۱- تمامی instance های فایل wp-vcd.php را حذف کنید.
نکته: این فایل احتمالا در مسیر ../wp-includes نشسته باشد اما اگر در جاهای دیگر هم مشاهده شد حذفش کنید.
۲- دو خط اول در فایل post.php به این فایل اشاره میکنند. آنها را خذف کنید.
۳- بنظر میرسه ریشه این حمله در استفاده از تم یا پلاگین null شده باشه. اگه دارین مجبورین با فایلهای functions.php اصلی null نشده عوضشون کنین. و گرنه بازم آلوده میشین.
۴- اگه در وبسایت تبلیغات غیرمتعارف مشاهده شد فایلهای wp-tmp.php و wp-feed.php را نیز حذف کنید. این دو فایل در مسیر ../wp-includes هستن.
۵- برای اطمینان بیشتر رمزهای مرتبط با دومین رو عوض کنین.

نکته ۱: اینکه ویروس تونسته به نسخه ۴٫۸ نفوذ کنه معنیش این نیست که نسخه های پایین تر یا بالاتر آسیب پذیر نیستن. پس مراقب باشید و حداقل از یک WAF خوب استفاده کنید.
نکته ۲: بکاپ گیری رو جدی بگیرین و یک بکاپ پلان قوی داشته باشین. بکاپ هاتون رو دوره ای چک کنین تا موقع اضطرار دست تون تو پوست گردو جا نمونه!

نکته ۳: فایل wp-vcd.php تزریق شده با یک رشته کدگذاری شده بلند base64 بنام $install_code شروع میشه:

$install_code = ‘c18615a1ef0e1cd813b388b4b6e29bcdc18615a1ef0e1cd813b388b4b6e29bcd[…Blah blah blah..] $install_hash = md5($_SERVER[‘HTTP_HOST’] . AUTH_SALT); $install_code = str_replace(‘{$PASSWORD}’ , $install_hash, base64_decode( $install_code ));

 

توجه: ما رو بیخبر نذارین و اگه مورد مشکوک دیگه ای تو هاست تون مشاهده کردین که فکر میکنید با این ویروس مرتبطه به ما خبر بدین. موفق باشید و دور از حادثه.

برچسب ها

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن