Jak usunąć malware wp-vcd z WordPress’a

5 Mar 2018

Nowa fala ataku na strony oparte na WordPress poprzez malware wp-vcd, który ukrywa się w plikach WordPress i który służy do dodawania tajnego administratora i zapewnia kontrolę nad zainfekowanymi stronami.

Szkodnik został po raz pierwszy zauważony w Internecie latem przez włoskiego badacza ds. Bezpieczeństwa Manuela D’Orso.

Początkowa wersja tego zagrożenia została załadowana poprzez wywołanie include dla pliku wp-vcd.php, w którym znajduje się nazwa złośliwego oprogramowania, i wstrzyknięty szkodliwy kod do podstawowych plików WordPress, takich jak functions.php i class.wp.php. Nie była to masowa kampania, ale ataki trwały przez ostatnie miesiące.

Teraz wp-vcd celuje w stare domyślne motywy WordPress oraz w motywy i wtyczki premium zwane jako nulled, czyli pobrane najczęściej z nielegalnego źródła.

Kod jest prosty i nie ukrywa jego złośliwych intencji poprzez kodowanie lub zaciemnianie funkcji”, powiedział Sucuri w ostrzeżeniu bezpieczeństwa opublikowanym w listopadzie 2017 roku..

Atakujący nie dbali o to, czy motywy były aktywne, czy też nie, i wykorzystali swoje pliki, aby ukryć złośliwy kod. Ten kod utworzyłby nowego administratora o nazwie 100010010. Celem tego konta typu backdoor było otwarcie połączenia z zainfekowanymi stronami, aby napastnicy mogli przeprowadzać ataki z użyciem skryptów w późniejszych terminach.

Według Sucuriego, oszuści wykorzystali luki w przestarzałych pluginach i motywach, aby przesłać złośliwe oprogramowanie na stronie.

Odkryto również luki w dwóch bardzo popularnych wtyczkach WordPress – Yoast SEO (ponad 5 milionów instalacji) i Formidable Forms (ponad 200 000 instalacji).

Ryan Dewhurst znalazł skrypt XSS (cross-site scripting) w Yoast SEO, który umożliwił intruzom wstrzyknięcie kodu na podatne strony. Zostało to naprawione w Yoast SEO 5.8. Użytkownicy powinni dokonać natychmiastowej aktualizacji, ponieważ jest to idealna luka, która może zostać wykorzystana do wyłudzania informacji do logowania od administratorów WordPressa.

Co robić jeśli już wiemy, że został wstrzyknięty kod wp-vcd na naszą stronę?

Możemy usunąć malware wykorzystując popularną wtyczkę Anti-Malware Security and Brute-Force Firewall.

Po pobraniu i zainstalowaniu należy zaktualizować definicje bazy wirusów. Żeby to zrobić potrzebna jest darmowa rejestracja.

Po aktualizacji włączamy skanowanie. Jeśli zajdzie taka potrzeba na koniec można automatycznie uleczyć zainfekowane pliki.

Malware możemy też usunąć ręcznie pliki wstrzyknięte oraz nadpisać oryginalne pliki WordPressa

Zainfekowane pliki to
functions.php – w folderach motywów

/wp-includes/class.wp.php

/wp-includes/post.php

/wp-includes/wp-vcd.php

Na koniec warto zainstalować wtyczkę Wordfence Security – Firewall & Malware Scan i również przeskanować swoją stronę.

Źródła:
bleepingcomputer.com
medium.com