یک بدافزار جدید به WordPress 4.8 حمله کرده است. هنوز ماهیت این حمله بشکل دقیق مشخص نشده اما خوب است بدانید مهاجمی که پشت این حمله قرار دارد از مقاصد گوناگون و با IP های مختلف دست به حمله میزند و بعلت ریپورت شدن، مدام مبداء حمله را تغییر میدهد.
در حال حاضر دو رفتار از این ویروس رصد شده است:
1- ارسال اطلاعات احراز هویت کاربر/کاربران لاگین شده به مقصد دور.
2- تزریق کد در فایلهای wp-tmp.php و wp-feed.php احتمالا بمنظور تبیلیغات یا ماینینگ.
در صورت آلوده شدن موارد زیر را برای حذف ویروس فوق انجام دهید:
1- تمامی instance های فایل wp-vcd.php را حذف کنید.
نکته: این فایل احتمالا در مسیر ../wp-includes نشسته باشد اما اگر در جاهای دیگر هم مشاهده شد حذفش کنید.
2- دو خط اول در فایل post.php به این فایل اشاره میکنند. آنها را خذف کنید.
3- بنظر میرسه ریشه این حمله در استفاده از تم یا پلاگین null شده باشه. اگه دارین مجبورین با فایلهای functions.php اصلی null نشده عوضشون کنین. و گرنه بازم آلوده میشین.
4- اگه در وبسایت تبلیغات غیرمتعارف مشاهده شد فایلهای wp-tmp.php و wp-feed.php را نیز حذف کنید. این دو فایل در مسیر ../wp-includes هستن.
5- برای اطمینان بیشتر رمزهای مرتبط با دومین رو عوض کنین.
نکته 1: اینکه ویروس تونسته به نسخه 4.8 نفوذ کنه معنیش این نیست که نسخه های پایین تر یا بالاتر آسیب پذیر نیستن. پس مراقب باشید و حداقل از یک WAF خوب استفاده کنید.
نکته 2: بکاپ گیری رو جدی بگیرین و یک بکاپ پلان قوی داشته باشین. بکاپ هاتون رو دوره ای چک کنین تا موقع اضطرار دست تون تو پوست گردو جا نمونه!
نکته 3: فایل wp-vcd.php تزریق شده با یک رشته کدگذاری شده بلند base64 بنام $install_code شروع میشه:
$install_code = ‘c18615a1ef0e1cd813b388b4b6e29bcdc18615a1ef0e1cd813b388b4b6e29bcd[…Blah blah blah..] $install_hash = md5($_SERVER[‘HTTP_HOST’] . AUTH_SALT); $install_code = str_replace(‘{$PASSWORD}’ , $install_hash, base64_decode( $install_code ));
توجه: ما رو بیخبر نذارین و اگه مورد مشکوک دیگه ای تو هاست تون مشاهده کردین که فکر میکنید با این ویروس مرتبطه به ما خبر بدین. موفق باشید و دور از حادثه.
