Phát hiện và xử lý malware wp-vcd trên WordPress

Ngày đăng: 15/01/2019
Cập nhật: 29/08/2021

Gần đây, chúng tôi đã thấy một loại phần mềm độc hại lây nhiễm các trang web WordPress bằng cách tận dụng sơ hở trong các plugin và theme đã lỗi thời. Phần mềm độc hại wp-vcd trong trang web của bạn bằng cách thêm người dùng quản trị WordPress ngầm. Một số biến thể của mã độc hại đã được kiểm chứng để sửa đổi các tệp hệ thống WordPress và cũng thêm các tệp mới trong thư mục /wp-includes.

wp-vcd malware làm gì?

  1. wp-vcd tạo URL spam trên trang web (URL Injection)
  2. tạo ra một lỗ hổng cho phép tin tặc truy cập vào trang web của bạn trong thời gian dài
  3. Tin tặc có thể khai thác lỗ hổng trong các plugin và chủ đề WordPress để tải lên phần mềm độc hại wp-vcd trên các trang web dễ bị tấn công.

Lý do phổ biến nhất của việc hack này là việc sử dụng một giao diện nulled, phần mềm độc hại wp-vcd trong nhiều trường hợp được cài đặt sẵn với mọi giao diện tải về từ các trang web nulled

Làm sao biết Website của bạn đã bị tấn công mã độc?

  1. Thêm mới người dùng quản trị mà bạn không hề biết?
  2. Mục đích SEO spam, hình dưới đây là một minh chứng:

  3. Mã javascript Không được xác minh trong website của bạn.
  4. Khi truy cập vào các trang, được chuyển hướng đến trang web đồi trụy.
  5. Phát hiện file lạ trong thư mục wp-includes.
  6. Có các tệp PHP trong thư mục wp-content/uploads và các thư mục con của nó.

Phân tích những gì mã độc hại gây ra?

Trong file functions.php của theme, bạn sẽ thấy dòng code như sau:

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

Mã này nhúng file class.theme-modules.php, nó sẽ tạo ra phần mềm độc hại wp-vcd vào các chủ đề theme khác được cài đặt (bật / tắt) và tạo tất cả các tệp độc hại khác.

Mã độc hại giống như thế này:

<?php
  
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2); 
DEFINE('MAX_ITERATION', 50); 
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
 
$GLOBALS['WP_CD_CODE'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
 @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
 if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
 @file_put_contents('wp-tmp.php', $tmpcontent);
 }
}

Như chúng ta đã thảo luận trong phần trước, mã này sẽ tạo một người dùng quản trị mới với tên tương tự 100010010. Về cơ bản mục tiêu của tài khoản quản trị này là đảm bảo rằng hacker có thể truy cập trang web ngay cả khi bạn xóa phần mềm độc hại, để những kẻ tấn công có thể tấn công trang web của bạn vào một thời điểm khác.

Làm thế nào để xóa phần mềm độc hại wp-vcd?

Tìm ra các tệp hay chuỗi ở dưới đây trên máy chủ web của bạn, với các cách sau đây:

Cách 1: Tìm các tệp dưới đây trên máy chủ web, các tệp này thường xuyên được tạo ra.

  1. wp-includes/wp-vcd.php
  2. wp-includes/wp-tmp.php
  3. wp-content/themes/*/functions.php (all themes installed on the server whether active or not)
  4. class.theme-modules.php
  5. class.wp.php
  6. admin.txt
  7. codexc.txt
  8. code1.php
  9. class.theme-modules.php (inside the theme folder)

Cách 2: Tìm kiếm các mẫu chuỗi được tìm thấy trong các tệp phần mềm độc hại bị nhiễm

  1. tmpcontentx
  2. function wp_temp_setupx
  3. wp-tmp.php
  4. derna.top/code.php
  5. stripos($tmpcontent, $wp_auth_key)

Cách bảo mật WordPress khỏi bị tấn công ?

Tạo một chiến lược bảo mật đơn giản:

  1. Dọn sạch các tệp thừa và cơ sở dữ liệu trang web của bạn.
  2. Cài đặt Tường lửa ứng dụng Web (WAF) để chặn các lần tấn công về sau
  3. Chạy quét phần mềm độc hại thường xuyên để kiểm tra xem tệp / cơ sở dữ liệu có bị can thiệp hay không
  4. Xóa các chủ đề WordPress không sử dụng (ngay cả khi bị tắt)
  5. Không sử dụng theme Null
  6. Cập nhật WordPress mới nhất

Làm sạch các trang web bị nhiễm phần mềm độc hại như vậy không phải lúc nào cũng dễ dàng. Khi chúng được kích hoạt trên một trang web, chúng có xu hướng lây nhiễm sang các khu vực khác của trang web và cũng cài đặt các loại mã phần mềm độc hại khác nhau. Phần mềm độc hại này cũng tạo ra một lỗ hổng cho phép những kẻ xấu để có được toàn quyền kiểm soát trang web của bạn. Do đó điều quan trọng là tạo ra một chiến lược bảo mật WordPress hiệu quả.