มัลแวร์ WP-VCD, nommé d'après le fichier wp-vcd.php, a fait des ravages dans l'espace WordPress. Depuis sa première détection par nos chercheurs en sécurité il y a plus d'un an, ce malware a évolué et est devenu plus sophistiqué รายชื่อผู้ตรวจสอบมัลแวร์จากมัลแวร์และความคิดเห็นอื่น ๆ การติดเชื้อและการติดเชื้อ เว็บไซต์ มัลแวร์ WP-VCD
Symptômes du malware WP-VCD :
1. Nouveau utilisateurs de l'administration ajoutés à WordPress : Nous avons vu des pirates s'ajouter comme utilisateur dans WordPress avec des privilèges d'administrateur.
2. ความสมบูรณ์ของทรัพยากร : Le malware WP-VCD est connu pour consommer les ressources de votre servers. Nous avons également vu des sociétés d'hébergement suspendre des comptes en invoquant une “ทรัพยากรที่เหมาะสมที่สุด”
3. Ralentisement du temps de chargement du site web : Souvent, le temps de chargement des sites web infectés par ce malware est impacté de manière negative. Dans sures cas, nous avons vu des sites web dont le chargement prend généralement de 2 à 3 วินาทีและบวก 30 วินาที!
4. รหัส Javascript inconnu : Nous avons vu du code จาวาสคริปต์ ใช้งานไม่ได้ สิ่งสำคัญ WP comme functions.php, index.php, soit à presque tous les fichiers WP de base Le second est généralement un cauchemar à réparer, entraînant souvent la redirection du site web vers des domaines malveillants également.
5. รหัส PHP ที่ไม่เหมาะสมและฐานข้อมูล: รหัส “WP-VCD” กับความแตกต่างของ endroits ของ WordPress มัลแวร์ C’est de là que vient le nom du D'après son nom, บน pourrait สมมติ que le fichier fait partie de WordPress, mais l'analyse du code révèle qu'il s'agit d'un malware
Voici un exemple d’un malware WP-VCD bien caché dans le répertoire wp-includes, สแกนเนอร์ที่ติดมัลแวร์ d’Astra Security
Les principales ทำให้เกิด de l’infection par le virus WP-VCD:
Une fois infecté, il est essentiel de supprimer l'infection et de s'assurer que votre WordPress est étanche et sécurisé à l'avenir. Dans le même temps, il est tout aussi important de savoir quelle a pu être la source de l’infection au départ. การติดเชื้อ Voici quelques points d’entrée que nous avons identifiés:
- Thèmes piratés et annulés : Les logiciels malveillants WP-VCD sont préinstallés avec les version piratées d'un thème/plugin payant. Ces thèmes et plugins ยกเลิก (โจรสลัด) continnent des scripts malveillants qui se déploient lorsque vous les installez
Après avoir mis le pied sur votre site web par le biais d’un thème annulé, il Continue à infecter tous les autres thèmes de votre site. Dans le cas d'un เซิร์ฟเวอร์ส่วนหนึ่ง, มัลแวร์ se propage ensuite pour infecter chaque site non protégé hébergé sur ce server. C'est pourquoi on voit souvent ce malware infecter tous les sites web d'un même serveur lorsqu'ils ne sont pas conteneurisés.
- Plugins et thèmes non mis à jour : C'est l'une des principales ทำให้เกิด de presque toutes les การติดเชื้อของ WordPress Cependant, la mise à jour de tous les thèmes/plugins après l’infection ne signifie pas que l’infection disparaîtra Le nettoyage de l'infection est toujours nécessaire, ce qui garantit une sécurité เชิงรุก
- ความปลอดภัยในเชิงรุกผ่านเว็บไซต์ : À vrai dire, les pirates ont fait évoluer leurs techniques au fil des ans. Ils gagnent des milliers de dollars grâce à ces piratages, ce qui signifie qu'ils peuvent dépenser des centaines de dollars อัตโนมัติ ces piratages et infecter des milliers/millions de sites web en même temps
Pour se protéger contre ces techniques de piratage évoluées de WordPress, un petit investissement และ un outil de sécurité peut faire beaucoup de chemin. Cela vous évite des maux de tête dans des Moments comme celui-ci et la prévention des pertes de référencement, การตลาด et de ventes เนื่องจาก aux temps d'arrêt est un autre avantage supplémentaire
แสดงความเห็น fonctionne ความถูกต้อง le logiciel malveillant WP-VCD ?
[เทคนิค un peu de ศัพท์เฉพาะ (mais super major) à venir]
สิ่งสำคัญอย่างยิ่งคือต้องเข้าใจว่า WP-VCD ทำอะไรได้บ้าง และวิธีการทำให้เว็บไซต์ของคุณช้าลงโดยใช้ทรัพยากรอันมีค่าทั้งหมดของเซิร์ฟเวอร์ของคุณ
Lorsqu'un code malveillant est inséré dans votre site web, il se trouve généralement dans des fichiers de base comme functions.php/index.php. ผู้ดูแล, รหัส ce malveillant appelle les fichiers de votre ไซต์เว็บ Lorsque votre ไซต์ web est ouvert à partir du Naviur, il tene d'atteindre les fichiers vers lesquels le logiciel malveillant effectue l'appel Et ces fichiers peuvent ou non residenceer sur votre site web, ce qui entraîne une nouvelle exécution de functions.php. Il s'agit essentiellement de faire tourner en rond le processus de chargement du site web. Dans le langage de la sécurité, cela s'appelle une “bombe à fourche”
Etape 1 :Déploiement de scripts malveillants
Dans le fichier functions.php de votre thème, vous verrez un code similaire à celui-ci :
<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>Ce รหัส vérifie si des scripts de déploiement sont disponibles et les execute ensuite. Comme vous pouvez le voir dans le code ci-dessus, le fichier qui a été appelé est le fichier class.theme-modules.php . การบำรุงรักษา, selon l’origine de l’infection (c’est-à-dire le thème ou le plugin), ไฟล์ที่เป็นอันตราย se trouvera dans le fichier class.theme-modules.php ou class.plugin-modules.php ตามลำดับ
Étape 2 :Création d’une porte dérobée
<?php
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...Ce code crée un nouvel utilisateur admin avec un nom similaire à 100010010 . L'objectif de ce compte d'administrateur détourné est de s'assurer que le pirate peut accéder au site web même si vous supprimez le code malveillant, afin que les attaquants puissent attaquer votre site web ult>
Etape 3 :Obtenir des instructions des pirates informatiques
Parfois, les Pirates ให้ข้อมูลฉีด URL de leurs เซิร์ฟเวอร์ C2 Ces URL เป็นแอปสำหรับแอปพลิเคชันสำหรับใช้งานและค้นหาไซต์ที่ติดเชื้อ โดเมนเนม tels que www.krilns[.]com/code.php, krilns[.]pw, krilns[.]top ฯลฯ ont été trouvés en train d'exécuter cette action dans de nombreux sites infectés par le WP-VCD
Etape 4 :Infection d'autres fichiers et sites
La prochaine เลือก que fait le malware WP-VCD est de s’étendre Il déploie le script malveillant dans chaque thème et plugin de votre เว็บไซต์ Ensuite, il Continue à trouver des sites vulnérables sur le même serveur et les infecte également.
เริ่มการขยายพันธุ์ Cette par le déploiement d'un script situé à l'adresse :wp-includes/wp-vcd.php . Elle est suivie par des modifieds dans le noyau wp-includes/post.php qui exécutent enfin le code dans wp-vcd.php หน้าเซอร์.
แสดงความคิดเห็น ลบ et supprimer le malware WP-VCD WordPress ?
1. Trouver et supprimer un code malveillant : ฉันมีอยู่ quelques endroits où la probabilité de trouver le code malveillant est élevée Cependant, les Pirates informatiques essaient souvent d'améliorer leurs moyens de dissimuler les logiciels malveillants de manière plus créative, mais ces fichiers/dossiers sur votre serveur valent la peine de beginningr la chasse :
2. Recherche de modèles de chaînes malveillantes : La recherche de modèles de chaines de caractères trouvés dans les fichiers de logiciels malveillants infectés vous aide à affiner la recherche Quelques-uns d'entre eux sont talkingnés ci-dessous :
- tmpcontentx
- ฟังก์ชัน wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- stripos($tmpcontent, $wp_auth_key)
3. ตัววิเคราะห์จาก fonctions.php : Ce fichier est l'un des principaux fichiers ติดเชื้อจากโจรสลัด L’examen du code dans functions.php peut révéler le code de contrôle du malware wp-vcd.
4. Effectuez une vérification de la différence pour vous assurer de l'authenticité du code : ผลการตรวจสอบความถูกต้องของความแตกต่าง entre le contenu des fichiers sur votre เซิร์ฟเวอร์ และ les fichiers ผู้สื่อข่าว dans le dépôt GitHub du noyau de WordPress ou dans le répertoire theme/plugin. Vous pouvez utiliser l’une des deux approches (ou les deux) en utilisant SSH ou votre IDE.
- การค้นหาและลบโค้ดที่เป็นอันตราย: มีสถานที่บางแห่งที่มีความเป็นไปได้สูงที่จะพบโค้ดที่เป็นอันตราย แม้ว่าแฮกเกอร์มักจะพยายามปรับปรุงวิธีการซ่อนมัลแวร์อย่างสร้างสรรค์มากขึ้น แต่ไฟล์/โฟลเดอร์เหล่านี้บนเซิร์ฟเวอร์ของคุณก็คุ้มค่าที่จะเริ่มต้นการค้นหาจาก:
- wp-includes/wp-vcd.php
- wp-includes/wp-tmp.php
- wp-content/themes/*/functions.php (ธีมทั้งหมดที่ติดตั้งบนเซิร์ฟเวอร์ไม่ว่าจะใช้งานอยู่หรือไม่ก็ตาม)
- class.wp.php
- code1.php
- class.theme-modules.php (ในโฟลเดอร์ธีม)
- การค้นหารูปแบบสตริงที่เป็นอันตราย :การค้นหารูปแบบสตริงที่พบในไฟล์มัลแวร์ที่ติดไวรัสจะช่วยคุณในการค้นหาให้แคบลง บางส่วนของพวกเขาที่กล่าวถึงด้านล่าง:
- tmpcontentx
- ฟังก์ชัน wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- สตริโพส($tmpcontent, $wp_auth_key)
- วิเคราะห์ functions.php: ไฟล์นี้เป็นหนึ่งในไฟล์ที่แฮกเกอร์ติดไวรัสอันดับต้นๆ การตรวจสอบโค้ดใน functions.php สามารถเปิดเผยโค้ดควบคุมของมัลแวร์ wp-vcd
- เรียกใช้การตรวจสอบส่วนต่างเพื่อให้แน่ใจว่าโค้ดมีความถูกต้อง: เรียกใช้ การตรวจสอบส่วนต่าง ของเนื้อหาไฟล์บนเซิร์ฟเวอร์ของคุณด้วยไฟล์ที่เกี่ยวข้องในที่เก็บ WordPress core GitHub หรือไดเร็กทอรีธีม/ปลั๊กอิน คุณสามารถใช้วิธีใดวิธีหนึ่ง (หรือทั้งสองอย่าง) โดยใช้ SSH หรือใช้ IDE ของคุณ
(การตรวจสอบความแตกต่างของ fichiers, การจับ d’écran du scanner de logiciels malveillants d’Astra montrant les logiciels malveillants ajoutés en haut du fichier index.php)
5. Lancez une วิเคราะห์ des logiciels malveillants : Dans de telles สถานการณ์ d’infection par des logiciels malveillants, un scanner de logiciels malveillants peut vous épargner des heures de recherche de logiciels malveillants (ce qui ne garantit toujours pas le succès) Le scanner de logiciels malveillants ne se contente pas d’analyser chaque fichier du serveur, mais il s’assure que chaque différence dans les fichiers principaux de votre WordPress est signée.
Le malware WP VCD s’installe sur votre site en Explosive les failles des plugins et des thèmes ล้าสมัย Dans la plupart des cas, les propriétaires de sites web s'infectent eux-mêmes en installant un plugin et des thèmes ฟรี ยกเลิกแหล่งที่มาของแหล่งที่มาไม่ใช่ autorisées, แทนดิส que dans d'autres cas, cela se produit' à la suite การปนเปื้อนของไซต์ที่ติดเชื้อ
Guide connexe – Guide complet sur la sécurité de WordPress
L’une des plus grandes lecons à tyr de ces piratages est de s’assurer que votre site web est sécurisé à l’avenir. ย้อนหลัง เช็คสถานการณ์ ทั้งหมด ที่เป็นไปได้ grâce à Astra Security Suite, qui assure la sécurité de milliers de sites web dans le monde entier, en arrêtant des millions d'attaques et de logiciels malveillants> chaque jour!
