Le malware WP-VCD, nommé d’après le fichier wp-vcd.php, a fait des ravages dans l’espace WordPress. Depuis sa première détection par nos chercheurs en sécurité il y a plus d’un an, ce malware a évolué et est devenu plus sophistiqué. Voici nos recherches sur l’évolution de ce malware notoire et comment réparer et prévenir l’infect de votre site web par le malware WP-VCD.
Triệu chứng phần mềm độc hại WP-VCD:
1. Nouveaux Pracisateurs de l’administration ajoutés à WordPress: Nous avons vu des pirates s’ajouter com Pracisateur dans WordPress avec des privilèges d’administrateur.
2. Forte consommation de ressources: Le malware WP-VCD est connu pour consommer les ressources de votre serveur. Nous avons également vu des Sociétés d’hébergement susre des comptes en billquant une “forte consommation de ressources”.
3. Trang web Ralentissement du temps de chargement du site: Souvent, le temps de chargement des sites web infectés par ce malware est effecté de manière négative. Dans certains cas, nous avons vu des sites web dont le chargement prend généralement de 2 à 3 secondes et plus de 30 giây!
4. Mã JavascriptUTEnu: Nous avons vu du code javascriptUTEnu ajouté soit à certains fichiers WP importants com functions.php, index.php, soit à presque tous les fichiers WP de base. Le second est généralement un cauchemar à réparer, entraînant souvent la redirection du site web vers des domaines malveillants également.
5. Mã PHP malveillant dans les Hồ sơ de base: Le code “WP-VCD” est ajouté à différents endroits de WordPress. C’est de is que vient le nom du malware. D’après son nom, trên pourrait supposer que le fichier fait partie de WordPress, mais l’analyse du code révèle qu’il s’agit d’un malware.
Voici un exemple d’un malware WP-VCD bien caché dans le répertoire wp-include, signalé par le scanner de malware d’Astra Security.
Bệnh vi rút gây nhiễm trùng đường hô hấp WP-VCD:
Une fois infecté, il est essentiel de supprimer l’infect et de s’assurer que votre WordPress est étanche et sécurisé à l’avenir. Dans le même temps, il est tout aussi important de savoir quelle a pu être la source de l’inilities au départ. Voici quelques điểm d’entrée que nous avons nhận dạng:
- Thèmes piratés et annulés: Les logiciels malveillants WP-VCD sont préinstallés avec les version piratées d’un thème / plugin payant. Ces thèmes et plugins annulés (piratés) contiennent des scripts malveillants qui se déploient lorsque vous les installez.
Trang web của cô ấy có ý kiến, tôi sẽ tiếp tục à lây nhiễm trang web tous les autres thèmes de votre. Dans le cas d’un serveur partagé, ce malware se propage ensuite pour infecter chaque site non protégé hébergé sur ce serveur. C’est pourquoi on voit souvent ce, kẻ lây nhiễm phần mềm độc hại tous les sites web d’un même serveur lorsqu’ils ne sont pas conteneurisés.
- Plugins et thèmes non mis à jour: C’est l’une des precisiones gây ra tình trạng nhiễm trùng (C’est l’une des. Cependant, la la misa jour de tous les thèmes / plugins après l’infect ne signifie pas que l’inionary disparaîtra. Le nettoyage de l’inionary est toujours nécessaire, ce qui garantit une sécurité chủ động.
- Pas de sécurité chủ động trang web sur le: À vrai dire, les pirates ont fait évoluer leurs skills au fil des ans. Ils gagnent des milliers de $ grâce à ces piratages, ce qui signifie qu’ils peuvent dépenser des centaines de $ pour automatiser ces piratages et infecter des milliers / million de sites web en même temps.
Pour se protéger contre ces skills de piratage évoluées de WordPress, un petit Surveyssement dans un outil de sécurité peut faire beaucoup de chemin. Cela vous évite des maux de tête dans des moment com celui-ci et la prévention des pertes de référencement, de marketing et de ventes dues aux temps d’arrêt est un autre avantage supplémentaire.
Nhận xét fonctionne exactement le logiciel malveillant WP-VCD?
[kỹ thuật un peu de jargon (mais super important) à venir]
Điều thực sự quan trọng là phải hiểu chính xác những gì WP-VCD làm và cách nó có thể làm chậm trang web của bạn bằng cách tiêu thụ tất cả các tài nguyên quý giá của máy chủ của bạn.
Lorsqu’un code malveillant est inséré dans votre site web, il serouve généralement dans des fichiers de base comm functions.php / index.php. Người bảo trì, ce code malveillant appelle les fichiers de votre site web. Lorsque votre site web est ouvert à partir du Navigateur, il tense d’atteindre les fichiers vers lesquels le logiciel malveillant effectue l’appel. Et ces fichiers peuvent ou non yeter sur votre site web, ce qui entraîne une nouvelle exécution de functions.php. Il s’agit essentiellement de faire tourner en rond le processus de chargement du site web. Dans le langage de la sécurité, cela s’appelle une “bombe à fourche”.
Étape 1:Déploiement de scripts malveillants
Dans le fichier functions.php de votre thème, vous verrez un code similaire à celui-ci:
<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>
Ce code vérifie si des scripts de déploiement sont disponibles et les exécute ensuite. Comme vous pouvez le voir dans le code ci-tráng miệng, le fichier qui a été appelé est le fichier class.theme-modules.php . Bảo trì, selon l’origine de l’infect (c’est-à-dire le thème ou le plugin), le script malveillant serouvera dans le fichier class.theme-modules.php ou class.plugin-modules.php tương ứng.
Étape 2:Création d’une porte dérobée
<?php
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2);
DEFINE('MAX_ITERATION', 50);
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);
$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...
Ce code crée un nouvel expisateur quản trị viên avec un nom similaire à 100010010 . L’objectif de ce compte d’administrateur détourné est de s’assurer que le pirate peut accéder au trang web même si vous supprimez le code malveillant, afin que les attaquants puissent attaquer votre trang web ultérieurement.
Étape 3:Obtenir destruction des Pirates Informatiques
Parfois, les pirates informationatiques injection les URL de leurs serveurs C2. Ces URL sont ensuite appelées pour déployer une action sur les site infectés en une seule fois. Des domaines tels que www.krilns [.] Com / code.php, krilns [.] Pw, krilns [.] Top , v.v. ont étérouvés en train d’exécuter cette action dans de nombreux sites infectés par le WP-VCD.
Étape 4:Infection d’autres fichiers et site
La prochaine đã chọn que fait le malware WP-VCD est de s’étendre. Il déploie le script malveillant dans chaque thème et plugin de votre site. Ensuite, tôi sẽ tiếp tục àrouver des sites vulnérables sur le même serveur et les infecte également.
Bắt đầu truyền bá Cette par le déploiement d’un script situé à l’adresse:wp-includes/wp-vcd.php
. Elle est suivie par des sửa đổi dans le noyau wp-include / post.php qui exécutent enfin le code dans wp-vcd.php trang sur chaque.
Nhận xét réparer et supprimer le malware WP-VCD WordPress?
1. Trouver et supprimer un code malveillant: Il survivale quelques endroits où la probabilité derouver le code malveillant est élevée. Cependant, les pirates informationatiques essaient souvent d’améliorer leurs moyens de dissimuler les logiciels malveillants de manière plus créative, mais ces fichiers / records sur votre serveur valent la peine de comncer la chasse:
- wp-include / wp-vcd.php
- wp-include / wp-tmp.php
- wp-content / themes / * / functions.php (tous les thèmes installés sur le serveur, qu’ils soient actifs ou non)
- class.wp.php
- code1.php
- class.theme-modules.php (à l’intérieur du hồ sơ thématique)
2. Recherche de modèles de chaînes malveillantes: La recherche de modèles de chaînes de caractèresrouvés dans les fichiers de logiciels malveillants infectés vous aide à affiner la recherche. Quelques-uns d’entre eux sont suggestnés ci-tráng miệng:
- tmpcontentx
- hàm wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- dải băng ($ tmpcontent, $ wp_auth_key)
3. Analyzer les fonctions.php: Ce fichier est l’un des precisionaux fichiers infectés par les pirates. L’examen du code dans functions.php peut révéler le code de contrôle du malware wp-vcd.
4. Effectuez hủy vé de la différence pour vous assurer de l’authenticité du code: Effectuez une vérification de la différence entre le contenu des fichiers sur votre serveur et les fichiers phóng viên dans le dépôt GitHub du noyau de WordPress ou dans le répertoire theme / plugin. Vous pouvez useiser l’une des deux Approches (ou les deux) en useisant SSH ou votre IDE.
- Tìm và xóa mã độc hại: Có một vài nơi xác suất tìm thấy mã độc rất cao. Mặc dù vậy, tin tặc thường cố gắng cải thiện các cách của họ để ẩn phần mềm độc hại một cách sáng tạo hơn nhưng các tệp / thư mục này trên máy chủ của bạn vẫn đáng để bắt đầu săn lùng:
- wp-include / wp-vcd.php
- wp-include / wp-tmp.php
- wp-content / themes / * / functions.php (tất cả các chủ đề được cài đặt trên máy chủ cho dù đang hoạt động hay không)
- class.wp.php
- code1.php
- class.theme-modules.php (bên trong thư mục chủ đề)
- Tìm kiếm các mẫu chuỗi độc hại :Tìm kiếm các mẫu chuỗi được tìm thấy trong các tệp phần mềm độc hại bị nhiễm phần mềm độc hại giúp bạn thu hẹp tìm kiếm. Một vài trong số chúng được đề cập dưới đây:
- tmpcontentx
- hàm wp_temp_setupx
- wp-tmp.php
- derna.top/code.php
- dải băng ($ tmpcontent, $ wp_auth_key)
- Phân tích functions.php: Tệp này là một trong những tệp bị tin tặc lây nhiễm hàng đầu. Xem lại mã trong functions.php có thể tiết lộ mã kiểm soát của phần mềm độc hại wp-vcd.
- Chạy kiểm tra khác biệt để đảm bảo tính xác thực của mã: Chạy kiểm tra khác biệt nội dung tệp trên máy chủ của bạn với các tệp tương ứng trong kho lưu trữ GitHub lõi WordPress hoặc thư mục chủ đề / plugin. Bạn có thể sử dụng một trong hai cách tiếp cận (hoặc cả hai) bằng SSH hoặc sử dụng IDE của mình.
(Vérification des différences de fichiers, chụp d’écran du scanner de logiciels malveillants d’Astra montrant les logiciels malveillants ajoutés en haut du fichier index.php)
5. Lancez une analyse des logiciels malveillants: Dans de kể những tình huống d’infect par des logiciels malveillants, un scanner de logiciels malveillants peut vous épargner des heures de recherche de logiciels malveillants (ce qui ne garantit toujours pas le succès). Le scanner de logiciels malveillants ne se contente pas d’analyser chaque fichier du serveur, mais il s’assure que chaque différence dans les fichiers precisionaux de votre WordPress est signalée.
Le malware WP VCD s’installe sur votre site en Exploant les failles des plugins et des thèmes obsolètes. Dans la plupart des cas, les propriétaires de sites web s'infectent eux-mêmes en installant un plugin et des thèmes gratuits ou annulés Provenant de sources non autorisées, tandis que dans d'autres cas, cela se produit à la suite d'une sự nhiễm bẩn par des site infectés.
Hướng dẫn kết nối - Hướng dẫn hoàn thiện của WordPress
L’une des plus grandes leçons à tirer de ces piratages est de s’assurer que votre site web est sécurisé à l’avenir. Ne pas se retrouver dans une telle condition est totalement can grâce à Astra Security Suite, qui assure la sécurité de milliers de sites web dans le monde entier, en arrêtant des million d’attaques et de logiciels malveillants chaque jour!