มัลแวร์ WP-VCD ซึ่งตั้งชื่อตามไฟล์ wp-vcd.php ได้สร้างความเสียหายอย่างมากในพื้นที่ WordPress นับตั้งแต่การตรวจจับครั้งแรกโดยทีมข่าวกรองภัยคุกคามด้านความปลอดภัยของเราเมื่อกว่าปีที่แล้ว มัลแวร์นี้ได้พัฒนาและมีความซับซ้อนมากขึ้น นี่คืองานวิจัยของเราเกี่ยวกับวิวัฒนาการของมัลแวร์ที่มีชื่อเสียงนี้ และวิธีแก้ไขและป้องกันการติดมัลแวร์ wp-vcd ในเว็บไซต์ของคุณ
อาการของมัลแวร์ WP-VCD:
- ผู้ดูแลระบบใหม่ที่เพิ่มเข้ามาใน WordPress: เราได้เห็นแฮกเกอร์เพิ่มตัวเองเป็นผู้ใช้ใน WordPress ด้วยสิทธิ์ของผู้ดูแลระบบ
- การใช้ทรัพยากรสูง: เป็นที่ทราบกันว่ามัลแวร์ WP-VCD ใช้ทรัพยากรเซิร์ฟเวอร์ของคุณ นอกจากนี้เรายังพบว่าบริษัทโฮสติ้งระงับบัญชีโดยอ้างว่า 'การใช้ทรัพยากรสูง' เป็นเหตุผล
- ความเร็วในการโหลดเว็บไซต์ช้าลง: บ่อยครั้งที่เวลาในการโหลดของเว็บไซต์ที่ติดมัลแวร์นี้ได้รับผลกระทบในทางลบ ในบางกรณี เราเคยเห็นเว็บไซต์ที่มักจะใช้เวลาในการโหลด 2-3 วินาที ซึ่งใช้เวลาในการโหลดมากกว่า 30 วินาที!
- รหัส Javascript ที่ไม่รู้จัก: เราได้เห็นโค้ดจาวาสคริปต์ที่ไม่รู้จักเพิ่มลงในไฟล์ WP ที่สำคัญบางไฟล์ เช่น functions.php, index.php หรือไฟล์ WP หลักเกือบทั้งหมด ข้อที่สองมักจะเป็นฝันร้ายที่ต้องแก้ไข ซึ่งมักจะนำไปสู่การเปลี่ยนเส้นทางของเว็บไซต์ไปยังโดเมนที่เป็นอันตรายด้วย
- โค้ด PHP ที่เป็นอันตรายภายในโฟลเดอร์หลัก: รหัส 'WP-VCD' ถูกเพิ่มในที่ต่างๆ ภายใน WordPress นี่คือที่มาของชื่อมัลแวร์ จากชื่อของมัน อาจมีคนสันนิษฐานว่าไฟล์นั้นเป็นส่วนหนึ่งของ WordPress แต่จากการวิเคราะห์โค้ดพบว่ามันเป็นมัลแวร์
นี่คือตัวอย่างมัลแวร์ WP-VCD ที่ซ่อนอยู่ภายในไดเร็กทอรี wp-includes ซึ่งระบุโดยเครื่องสแกนมัลแวร์ของ Astra Security
สาเหตุอันดับต้นๆ ของการติดไวรัส WP-VCD:
เมื่อติดไวรัสแล้ว การลบการติดไวรัสและการทำให้ WordPress ของคุณปลอดภัยจากการรั่วซึมเป็นสิ่งสำคัญ ในเวลาเดียวกัน สิ่งสำคัญเท่าเทียมกันคือต้องรู้ว่าอะไรเป็นสาเหตุของการติดเชื้อตั้งแต่แรก จุดเริ่มต้นบางส่วนที่เราได้ระบุ ได้แก่:
- ธีมละเมิดลิขสิทธิ์ &nulled: มัลแวร์ WP-VCD ติดตั้งมาพร้อมกับธีม/ปลั๊กอินที่ต้องชำระเงินเวอร์ชันละเมิดลิขสิทธิ์ ธีมและปลั๊กอินที่เป็นโมฆะ (ละเมิดลิขสิทธิ์) เหล่านี้มีสคริปต์ที่เป็นอันตรายซึ่งจะถูกปรับใช้เมื่อคุณติดตั้ง
After setting its foot on your website through a nulled theme, it goes on to infect every other theme on your site. In the case of a shared server, this malware then propagates to infect each unprotected site hosted on that server. That’s why we often see this malware infects all the websites on the same server when they aren’t containerized.
- Un-updated plugins &themes: This is one of the top causes of almost all WordPress infections. However, updating all the themes/plugins after the infection has happened doesn’t mean the infection would go away. Cleaning the infection is still required and so is ensuring proactive security, more on it below.
- No proactive security on the website: Truth be told, hackers have evolved their techniques over the years. They gain thousands of dollars from such hacks, which means that they can spend hundreds of dollars automating these hacks to infect thousands/millions of websites at once.
To protect against such evolved WordPress hack techniques, a small investment in a security tool goes a long long way. Saves you headaches at times like these and prevention of SEO/marketing/sales loss from the downtime is another added benefit.
How exactly does the WP-VCD malware work?
[some technical (yet super important) jargon ahead]
It’s really important to understand what exactly does WP-vcd does and how it’s able to slow your website eating up all your precious server resources.
When malicious code is inserted in your website, it usually sits in core files like functions.php/index.php. Now, this malicious code makes a call to files within your website. When your website is opened from the browser, it tries to reach the files to which malware is making the call. And these files may or may not exist on your website causing the functions.php to get executed again. Essentially bringing the website loading process to a big loop. This, in the security language, is called a ‘forkbomb’.
Step 1:Deploys malicious scripts
In the functions.php file within your theme, you would see some code similar to this:
<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>
This code checks if there are deployer scripts available and subsequently executes them. As you can see in the code above, the file that’s been called is the class.theme-modules.php ไฟล์. Now, depending on where the infection emanates from (i.e. theme or plugin), the malicious script will be in file class.theme-modules.php or class.plugin-modules.php respectively.
Step 2:Creates backdoor
<?php
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...
This code creates a new admin user with a name similar to 100010010 . The objective of this backdoor admin account is to make sure that the hacker is able to access the website even if you delete the malicious code basically, so that the attackers could attack your website at a later point in time.
Step 3:Gets instructions from hackers
Sometimes hackers inject URLs of their C2 servers. These URLs are later called to deploy action across the infected sites in one go. Domains such as www.krilns[.]com/code.php , krilns[.]pw , krilns[.]top , etc have been found executing this in many WP-VCD infected sites.
Step 4:Infects other files and sites
The next thing that the WP-VCD malware does is to expand itself. It deploys the malicious script in every theme and plugin on your site. Next, it goes on to find vulnerable sites on the same server and infects them too.
This propagation starts with the deployment of a script located at wp-includes/wp-vcd.php
. It’s followed by modifications in the core wp-includes/post.php which at last execute the code in wp-vcd.php on every page.
How to fix &remove the WP-VCD WordPress malware?
- Finding &removing malicious code: There are a few places where probability of finding the malicious code is high. Though, hackers often try to improve their ways to hide the malware more creatively still these files/folders on your server are worth starting the hunt from:
- wp-includes/wp-vcd.php
- wp-includes/wp-tmp.php
- wp-content/themes/*/functions.php (all themes installed on the server whether active or not)
- class.wp.php
- code1.php
- class.theme-modules.php (inside the theme folder)
- Searching malicious string patterns :Searching for string patterns that are found in infected malware files helps you in narrowing down the search. A few of them mentioned below:
- tmpcontentx
- function wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- stripos($tmpcontent, $wp_auth_key)
- Analyze functions.php: This file is one of the top infected files by hackers. Reviewing the code in functions.php can reveal the controlling code of wp-vcd malware.
- Run a diff check to ensure code authenticity: Run a diff check of the file contents on your server with corresponding files in the WordPress core GitHub repository or theme/plugin directory. You can use either of the approaches (or both) using SSH or using your IDE.
(File difference checking, screenshot from Astra’s malware scanner showing malware added at the top of index.php file)
- Run a malware scan: In such malware infection situations, a malware scanner can save you hours of hunting for malware (which still doesn’t guarantee success). Malware scanner not only scans each and every file of the server but ensures every difference in core files of your WordPress is pointed out.
The WP VCD malware gets a foothold in your site by leveraging loopholes in outdated plugins and themes. In most WP-VCD cases, the web owners infect themselves by installing a free/nulled plugin &themes from unauthorized sources, while in others it occurs as a result of contamination by infected sites.
Related Guide – Comprehensive Guide on WordPress
Tip:Scan WordPress for malicious cod e
One of the biggest lessons to be learnt from such hacks is to ensure your website is secure going forward. Not ending up in a hack situation like this is totally possible using Astra Security Suite that powers security of thousands of websites around the globe, stopping millions of attack and malware every day!