Computer >> Máy Tính >  >> Kết nối mạng >> An ninh mạng

Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn

Gần đây, nhiều trang web WordPress đã phát hiện ra một mã độc hại được thêm vào đầu trang functions.php , khai thác nó, người tạo phần mềm độc hại có thể gây ra khá nhiều thiệt hại mà họ muốn. Mã được đưa vào đến từ phần mềm độc hại ApiWord điều này không chỉ tạo ra các sửa đổi trong post.php functions.php mà còn tạo tệp chứa cửa sau: /wp-includes/class.wp.php

Sự hiện diện của functions.php tệp cần thiết để bất kỳ chủ đề nào được WordPress công nhận - và do đó được thực thi trong mỗi lần xem trang. Điều này khiến nó trở thành mục tiêu tuyệt vời cho mã độc.

Giới thiệu về Phần mềm độc hại ApiWord

Trong một trong những trường hợp, mã bị nhiễm đã được tìm thấy trong tệp functions.php của một plugin độc hại có tên woocommerce-direct-download. Plugin này chứa một tập lệnh độc hại có tên là woocp.php lưu trữ một số mã PHP bị xáo trộn. Tập lệnh này khi thực thi đã tiêm mã độc vào tất cả các tệp functions.php.

Sau khi bị lây nhiễm, tập lệnh sẽ tạo ra một cửa hậu mà kẻ tấn công có thể sử dụng sai theo một số cách. Một số cách mà tập lệnh PHP backdoor có thể bị sử dụng sai là:

  • thêm hoặc sửa đổi các bài đăng tùy ý trên trang web
  • Lây nhiễm tất cả các trang web WordPress trên máy chủ
  • Tạo tệp PHP mới trên máy chủ với mã được tìm nạp động từ miền của ApiWord

Phần mềm độc hại ApiWord thêm các đoạn mã vào wp-include / post.php tập tin. Sau đó, nó tạo một tệp wp-include / wp-cd.php. Dưới đây là giải mã base64:

Blog liên quan - Cách sửa phần mềm độc hại wp-vcd trong WordPress

Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn

Khi giải mã, nó trông giống như sau:

Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn

Cách phát hiện Phần mềm độc hại ApiWord

Cần biết rằng mã độc được thêm vào đầu mỗi tệp functions.php được tìm thấy trong thư mục gốc của mỗi chủ đề đã cài đặt.

Ví dụ:nếu trang web WordPress có chủ đề gọi là “MyTheme”, thì mã độc hại sẽ được thêm vào wp-content / themes / MyTheme / functions.php tập tin.

Đường dẫn tệp được biết là chứa mã độc hại là “@file_puts_contents ($ _ SERVER [‘ DOCUMENT_ROOT ’].’ / Wp-include / class.wp.php ’, file_get_contents)” .

Mã này về cơ bản sẽ chứa một chữ ký dưới dạng một biến có tên là wp_cd_code. Điều này có thể giúp xác định các tệp bị nhiễm.

Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn

Trong trường hợp người dùng đang chạy HĐH dựa trên Unix, bạn có thể trích xuất danh sách tất cả các tệp bị nhiễm bằng cách chạy lệnh sau trong thư mục gốc của web-root máy chủ của bạn:

find -iname '*.php' -print0 | xargs -0 egrep -in 'wp_cd_code'

Việc thực thi điều này sẽ bắt đầu tìm kiếm đệ quy cho chuỗi chữ ký “ wp_cd_code ”Thông qua tất cả các tệp .php. Sau đó, kết quả sẽ hiển thị đường dẫn tệp và số dòng chứa chuỗi tìm kiếm.

Mã Phần mềm độc hại ApiWord có chức năng gì

Nói một cách dễ hiểu, trình tiêm mã cấu hình mã độc hại cho từng trang web, đưa vào tệp PHP sẽ chạy theo từng yêu cầu của người dùng - được báo cáo lại cho kẻ tấn công. Mã này kiểm tra hành động của biến và mật khẩu được chuyển trong yêu cầu HTTP. Nếu mật khẩu khớp với hàm băm được mã hóa cứng (được tạo bởi bộ nạp mã) thì mã được đưa vào sẽ thực hiện một hành động dựa trên nội dung của action biến.

Kẻ tấn công có thể sử dụng mật khẩu đã tạo để có được đặc quyền quản trị trang web của bạn mà không cần theo cách đăng nhập thông thường. Điều này cung cấp cho chúng đặc quyền đối với một số hành động như thêm nội dung tùy ý và sửa đổi các bài đăng trên trang web bị nhiễm của bạn. Để biết thêm về điều này, hãy xem bài viết của chúng tôi về Thực thi mã PHP trong WordPress.

Xóa phần mềm độc hại hack PHP / ApiWord

Giảm thiểu phần mềm độc hại ApiWord yêu cầu xóa triệt để tất cả các mã cửa hậu khỏi mỗi và mọi tệp function.php trong thư mục chủ đề của trang web. Bạn có thể muốn làm theo danh sách kiểm tra này:

  1. Kiểm tra mọi tệp functions.php để tìm mã độc hại. Mã liên quan sẽ được tìm thấy trong dấu trong tệp PHP, vì vậy bạn nên xóa hoàn toàn khối này.
  2. Loại bỏ ngay bộ tiêm mã trong trường hợp nó vẫn tồn tại. Ví dụ:trong trường hợp woocommerce-direct-download plugin, bộ chèn mã được chứa trong một tệp có tên là woocp.php mà bạn cần xóa.
  3. Để ý các bảng _datalist và _install_meta. Hãy ghi nhớ điều này, vì nó có thể hữu ích khi tìm các bài đăng đã được sửa đổi. Sau đó, hãy nhớ xóa các bảng này.
  4. Quét tất cả các bài đăng để tìm biến chữ ký “wp_cd_code” và xóa DIV này cho từng bài đăng bị ảnh hưởng.
  5. Kiểm tra các tệp được sửa đổi gần đây trên máy chủ. Đăng nhập vào máy chủ web của bạn qua SSH và thực hiện lệnh sau để tìm các tệp được sửa đổi gần đây nhất:

    find / path-of-www -type f -printf ‘% TY-% Tm-% Td% TT% p \ n’ | sắp xếp -r

Cách ngăn phần mềm độc hại ApiWord bị lây nhiễm

Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn
  1. Cập nhật quyền và người dùng tệp. Xem xét thay đổi quyền đối với tệp của trang web của bạn để hạn chế hơn. Lược đồ quyền mặc định cho các thư mục và tệp phải là 750 và 640 tương ứng. Bạn có thể thay đổi quyền thông qua ứng dụng FTP / SFTP. Trong trường hợp bạn muốn thay đổi quyền qua dòng lệnh, hãy chạy đệ quy các lệnh sau:
    • Đối với Thư mục: 
      find /path/to/your/wordpress/install/ -type d -exec chmod 750 {} \;

    • Đối với tệp: 

      find /path/to/your/wordpress/install/ -type f -exec chmod 640 {} \;
  2. Giám sát mọi tệp mới đang được tạo trên máy chủ. Tường lửa ứng dụng web (WAF) như Astra khi được triển khai, về cơ bản sẽ dò tìm mọi tệp mới / đã xóa / sửa đổi đang được tạo trên máy chủ và thường xuyên quét phần mềm độc hại.
  3. Tránh sử dụng các chủ đề vi phạm bản quyền. Bạn chỉ nên dựa vào các chủ đề từ các nguồn xác thực và chính thức.
  4. Cài đặt tất cả các bản cập nhật WordPress ngay lập tức. WordPress thường xuyên phát hành các bản cập nhật và bổ sung để giảm thiểu bất kỳ lỗ hổng bảo mật nào được tiết lộ . Astra’s WordPress Security đảm bảo thông báo kịp thời về các bản cập nhật và plugin cho Trang web WordPress của bạn.
Cách xóa Backdoor WordPress:Phần mềm độc hại PHP / ApiWord khỏi trang web WordPress của bạn

Phần mềm độc hại ApiWord:Kết luận

Phần mềm độc hại luôn thay đổi và có thể ảnh hưởng đến trang web và thậm chí là danh tiếng của bạn. Mặc dù xóa phần mềm độc hại khỏi trang web của bạn là một phần, nhưng việc đảm bảo an toàn cho bạn không bị lây nhiễm thêm vẫn cần một thứ lâu dài hơn - chẳng hạn như bộ Astra’s Security!

Để biết về những diễn biến mới nhất trong cộng đồng WordPress hoặc nhận thông báo về việc phát hành bản cập nhật, hãy đăng ký blog của chúng tôi về Bảo mật WordPress.

Giới thiệu về Astra Security Suite

Astra là bộ bảo mật web cần thiết chống lại tin tặc, các mối đe dọa từ internet &bot cho bạn. Chúng tôi cung cấp bảo mật chủ động cho các trang web của bạn chạy các CMS phổ biến như WordPress, OpenCart, Magento, v.v. Nhóm hỗ trợ của chúng tôi luôn sẵn sàng hỗ trợ bạn trong suốt cả năm.