Gần đây, chúng tôi đã thấy một loại phần mềm độc hại lây nhiễm các trang web WordPress bằng cách tận dụng sơ hở trong các plugin và theme đã lỗi thời. Phần mềm độc hại wp-vcd trong trang web của bạn bằng cách thêm người dùng quản trị WordPress ngầm. Một số biến thể của mã độc hại đã được kiểm chứng để sửa đổi các tệp hệ thống WordPress và cũng thêm các tệp mới trong thư mục /wp-includes.
Lý do phổ biến nhất của việc hack này là việc sử dụng một giao diện nulled, phần mềm độc hại wp-vcd trong nhiều trường hợp được cài đặt sẵn với mọi giao diện tải về từ các trang web nulled
Trong file functions.php
của theme, bạn sẽ thấy dòng code như sau:
<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>
Mã này nhúng file class.theme-modules.php
, nó sẽ tạo ra phần mềm độc hại wp-vcd vào các chủ đề theme khác được cài đặt (bật / tắt) và tạo tất cả các tệp độc hại khác.
Mã độc hại giống như thế này:
<?php //install_code1 error_reporting(0); ini_set('display_errors', 0); DEFINE('MAX_LEVEL', 2); DEFINE('MAX_ITERATION', 50); DEFINE('P', $_SERVER['DOCUMENT_ROOT']); $GLOBALS['WP_CD_CODE'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code) ... if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) { @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent); if (!file_exists(get_template_directory() . '/wp-tmp.php')) { @file_put_contents('wp-tmp.php', $tmpcontent); } }
Như chúng ta đã thảo luận trong phần trước, mã này sẽ tạo một người dùng quản trị mới với tên tương tự 100010010. Về cơ bản mục tiêu của tài khoản quản trị này là đảm bảo rằng hacker có thể truy cập trang web ngay cả khi bạn xóa phần mềm độc hại, để những kẻ tấn công có thể tấn công trang web của bạn vào một thời điểm khác.
Tìm ra các tệp hay chuỗi ở dưới đây trên máy chủ web của bạn, với các cách sau đây:
Cách 1: Tìm các tệp dưới đây trên máy chủ web, các tệp này thường xuyên được tạo ra.
Cách 2: Tìm kiếm các mẫu chuỗi được tìm thấy trong các tệp phần mềm độc hại bị nhiễm
Tạo một chiến lược bảo mật đơn giản:
Làm sạch các trang web bị nhiễm phần mềm độc hại như vậy không phải lúc nào cũng dễ dàng. Khi chúng được kích hoạt trên một trang web, chúng có xu hướng lây nhiễm sang các khu vực khác của trang web và cũng cài đặt các loại mã phần mềm độc hại khác nhau. Phần mềm độc hại này cũng tạo ra một lỗ hổng cho phép những kẻ xấu để có được toàn quyền kiểm soát trang web của bạn. Do đó điều quan trọng là tạo ra một chiến lược bảo mật WordPress hiệu quả.