Le Malware WP-VCD, nommé d'après le fichier wp-vcd.php, a fait des ravages dans l'espace WordPress. Depuis sa première détection par nos chercheurs en sécurité il y a plus d'un an, ce Malware a évolué et est devenu plus sophistiqué. Voici nos recherches sur l'évolution de ce Malware notoire et comment réparer et prévenir l'infection de votre site web par le Malware WP-VCD.
맬웨어 WP-VCD의 증상:
1. Nouveau utilisateurs de l'administration ajoutés à WordPress : Nous avons vu des pirates s'ajouter comme utilisateur dans WordPress avec des privilèges d'administrateur.
2. Forte consommation de 자원 : 악성 코드 WP-VCD는 투표 서버의 리소스를 소비합니다. Nous avons également vu des sociétés d'hébergement suspendre des comptes en invoquant une "forte consommation de ressources".
3. Ralentissement du temps de chargement du 사이트 웹 : Souvent, le temps de chargement des sites web infectés par ce Malware est impacté de manière negative. Dans specifics cas, nous avons vu des sites web dont le chargement prend généralement de 2 à 3 secondes et plus de 30secondes !
4. 코드 자바스크립트 오류: 새로운 코드 자바 스크립트 inconnu ajouté soit à specifics fichiers WP 중요 comme functions.php, index.php, soit à presque tous les fichiers WP de base. Le second est généralement un cauchemar à réparer, entraînant souvent la redirection du site web vers des domaines malveillants également.
5. 코드 PHP malveillant dans les dossier de base : Le code “WP-VCD” est ajouté à différents endroits de WordPress. C'est de la que vient le nom du 악성코드. D'après son nom, on pourrait 가정, que le fichier fait partie de WordPress, mais l'analyse du code révèle qu'il s'agit d'un Malware.
Voici un exemple d'un Malware WP-VCD bien caché dans le répertoire wp-includes, signalé par le scanner de Malware d'Astra Security.
원칙이 적을수록 바이러스 WP-VCD 감염:
Une fois infecté, il est essentiel de supprimer l'infection et de s'assurer que votre WordPress est étanche et sécurisé à l'avenir. Dans le même temps, il est tout aussi Important de savoir quelle a pu être la source de l'infection au départ. Voici quelques point d'entrée que nous avons identifiés:
- Themes pirates et annulés: 잘못된 논리 WP-VCD sot préinstallés avec les versions pirateées d'un tème/plugin payant. Ces themes et plugins annulés (pirates) contiennent des scripts malveillants qui se déploient lorsque vous les installez.
투표를 위한 투표 사이트 웹 par le biais d'un tème annulé, il 계속 à infecter tous les autres tèmes de votre 사이트. Dans le cas d'un serveur partage, ce Malware se propage ensuite pour infecter chaque site non protégé hébergé sur ce server. C'est pourquoi on voit souvent ce Malware infecter tous les sites web d'un même Serveur lorsqu'ils ne sont pas conteneurisés.
- 플러그인 et thèmes non mis à jour : C'est l'une des principales는 WordPress의 감염을 예방합니다. Cependant, la mise à jour de tous les tèmes/plugins après l'infection ne signifie pas que l'infection disparaîtra. Le nettoyage de l'infection est toujours nécessaire, ce qui garantit une sécurité proactive.
- Pas de sécurité 사전 예방적 사이트 웹: À vrai dire, les pirates ont fait évoluer leurs technologies au fil des ans. Ils gagnent des milliers de dollar grâce à ces piratages, ce qui signifie qu'ils peuvent dépenser des centaines de Dollars pour automatiser ces piratages et infecter des milliers/millions de sites web en meme temps.
푸어 se protéger contre ces techniques de pirateage évoluées de WordPress, un petitInvestissement dans un outil de sécurité peut faire beaucoup de chemin. Cela vous évite des maux de tête dans des moment comme celui-ci et la prévention des pertes de référencement, demarketing et de ventes dus aux temps d'arrêt est un autre avantage supplémentaire.
논리적 악성 WP-VCD에 대한 정확한 설명 기능
[un peu de jargon technique (mais super Important) à venir]
WP-VCD가 정확히 무엇을 하고 서버의 모든 귀중한 리소스를 소모하여 웹 사이트 속도를 늦출 수 있는지 이해하는 것이 정말 중요합니다.
Lorsqu'un code malveillant est inséré dans votre site web, il se trouve généralement dans des fichiers de base comme functions.php/index.php. 유지 보수, CE 코드 malveillant appelle les fichiers de votre site web. Lorsque votre site web est ouvert à partir du navigationur, il tente d'atteindre les fichiers vers lesquels le logiciel malveillant effectue l'appel. Et ces fichiers peuvent ou non-exister sur votre site web, ce qui entraîne une nouvelle exécution de functions.php. Il s'agit essentiellement de faire tourner en rond le processus de chargement du site web. Dans le langage de la sécurité, cela s'appelle une "bombe à fourche".
Étape 1 :악성 스크립트 배포
Dans le fichier functions.php de votre theme, vous verrez un code similaire à celui-ci :
<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>Ce code vérifie si des scripts de deploiement sont disponibles et les exécute ensuite. Comme vous pouvez le voir dans le code ci-dessus, le fichier qui a été appelé est le fichier class.theme-modules.php . 유지 관리, selon l'origine de l'infection(c'est-à-dire le tème ou le 플러그인), le script malveillant se trouvera dans le fichier class.theme-modules.php class.plugin-modules.php 각각.
Étape 2 :Création d'une porte dérobée
<?php
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...CE 코드 crée un nouvel utilisateur admin avec un nom similaire à 100010010 . L'objectif de ce compte d'administrateur détourné est de s'assurer que le pirate peut accéder au site web meme si vous supprimez le code malveillant, afin que les attaquants puissent attaquer voturement site.
Étape 3:Obtenir des instructions des pirates informatiques
Parfois, les pirates informatiques injectent les URL de leurs serverurs C2. Ces URL sont ensuite appelées pour déployer une action sur les sites infectés en une seule fois. 도메인 전화 문의 www.krilns[.]com/code.php, krilns[.]pw, krilns[.]top 등. ont été trouvés en train d'executer cette action dans de nombreux sites infectés par le WP-VCD.
Étape 4:Infection d'autres fichiers et 사이트
La prochaine은 que fait le Malware WP-VCD est de s'étendre를 선택했습니다. Il déploie le script malveillant dans chaque thème et plugin de votre 사이트. Ensuite, il continue à trouver des sites vulnérables sur le même Serveur et les infecte également.
Cette 전파 시작 par le déploiement d'un script situé à l'adresse :wp-includes/wp-vcd.php . Elle est suivie par des modifiers dans le noyau wp-includes/post.php qui exécutent enfin le code dans wp-vcd.php 쉬르 차크 페이지.
WordPress WP-VCD에 대한 악성코드 검토
1. Trouver et supprimer un code malveillant : Il Existe quelques endroits où la probabilité de trouver le code malveillant est élevée. Cependant, les pirates informatiques essaient souvent d'améliorer leurs moyens de dissimuler les logiciels malveillants de manière plus créative, mais ces fichiers/dossiers sur votre serveur valent la peine de beginr P la chasse :
2. Recherche de modeles de chaînes malveillantes: La recherche de modeles de chaînes de caractères trouvés dans les fichiers de logiciels malveillants infectés vous aide à affiner la recherche. Quelques-uns d'entre eux sont Mentionnés ci-dessous :
- tmpcontentx
- 함수 wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- 스트리포스($tmpcontent, $wp_auth_key)
3. 분석기 les fonctions.php : Ce fichier est l'un des principaux fichiers infectés par les pirates. L'examen du code dans functions.php peut révéler le code de contrôle du Malware wp-vcd.
4. Effectuez une vérification de la différence pour vous assurer de l'authenticité du code : Effectuez une vérification de la différence entre le contenu des fichiers sur votre serveur et les fichiers 통신원 dans le dépôt GitHub du noyau de WordPress ou dans le répertoire theme/plugin. Vous pouvez utiliser l'une des deux approches (ou les deux) en utilisant SSH ou votre IDE.
- 악성 코드 찾기 및 제거: 악성코드를 발견할 확률이 높은 곳이 몇 군데 있습니다. 그러나 해커는 종종 맬웨어를 더 창의적으로 숨기는 방법을 개선하려고 시도하지만 여전히 서버의 이러한 파일/폴더는 다음 위치에서 사냥을 시작할 가치가 있습니다.
- wp-includes/wp-vcd.php
- wp-includes/wp-tmp.php
- wp-content/themes/*/functions.php(활성화 여부에 관계없이 서버에 설치된 모든 테마)
- class.wp.php
- code1.php
- class.theme-modules.php (테마 폴더 내부)
- 악성 문자열 패턴 검색 :감염된 악성코드 파일에서 발견된 문자열 패턴을 검색하면 검색 범위를 좁힐 수 있습니다. 그 중 몇 가지가 아래에 언급되어 있습니다.
- tmpcontentx
- 함수 wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- 스트리포($tmpcontent, $wp_auth_key)
- functions.php 분석: 이 파일은 해커에 의해 가장 많이 감염된 파일 중 하나입니다. functions.php의 코드를 검토하면 wp-vcd 악성코드의 제어 코드를 알 수 있습니다.
- 차이 검사를 실행하여 코드 신뢰성 확인: 차이 확인 실행 WordPress 코어 GitHub 리포지토리 또는 테마/플러그인 디렉터리에 있는 해당 파일과 함께 서버의 파일 내용. SSH를 사용하거나 IDE를 사용하여 접근 방식 중 하나(또는 둘 다)를 사용할 수 있습니다.
(Vérification des différences de fichiers, capture d'écran du scanner de logiciels malveillants d'Astra montrant les logiciels malveillants ajoutés en haut du fichier index.php)
5. Lancez une analysis des logiciels malveillants : Dans de telles 상황 d'infection par des logiciels malveillants, un scanner de logiciels malveillants peut vous épargner des heures de recherche de logiciels malveillants (ce qui ne garantit toujours pas le succès). Le Scanner de logiciels malveillants ne se contente pas d'analyser chaque fichier du Serveur, mais il s'assure que chaque différence dans les fichiers principaux de votre WordPress est signalée.
Le Malware WP VCD s'installe sur votre site en exploitant les failles des plugins et des thèmes obsolètes. Dans la plupart des cas, les propriétaires de sites web s'infectent eux-mêmes en installant un plugin et des thèmes gratuits ou annulés provenant de sources non autorisées, tandis que dans d'autres cas, cela se produit à la suite d'une 오염 파 데 사이트 감염.
Guide connexe – WordPress 보안에 대한 완전한 가이드
L'une des plus grandes leçons à Tirer de ces piratages est de s'assurer que votre site web est sécurisé à l'avenir. Ne pas se retrouver dans une telle 상황 est totalment possible grâce à Astra Security Suite, qui assure la sécurité de milliers de sites web dans le monde entier, en arrêtant des Million d'attaques et de logiciels malveillants chaque jour!