wp_options, затрагивая такие записи, как wpcode_snippets, siteurl, home, и redirection_options.Это позволяет злоумышленникам создавать скрытых пользователей с правами администратора, перенаправлять посетителей на вредоносные веб-сайты и скрывать плагины безопасности от взгляда администратора. Вредоносная программа также использует передовые методы для уклонения от обнаружения, такие как кодировка base64 и отслеживание IP-адресов.
Как эта вредоносная программа скрывается и работает незамеченной
Что делает это вредоносное ПО более тревожным, так это его способность оставаться необнаруженным широким спектром сканеров безопасности.
Отчеты показывают, что 14 основных сканеров, включая известные сканеры безопасности WordPress, не смогли идентифицировать угрозу. Вот список сканеров, которым не удалось идентифицировать эту угрозу.:
- Wordfence
- Sucuri SiteCheck
- MalCare
- iThemes Security
- All In One WP Security & Firewall
- WPScan
- Anti-Malware Security (by Eli/GOTMLS.NET)
- SecuPress
- Quttera Web Malware Scanner
- Exploit Scanner
- WPCore Scan
- WP Cerber Security
- ClamAV
Вредоносная программа работает, помещая вредоносный код непосредственно в базу данных WordPress, особенно в таблицу wp_options. Таким образом, она может избежать обычного сканирования файлов, которое используют многие плагины безопасности.
Понимание того, как работает вредоносная программа
1. Захват панели администратора
Вредоносная программа изменяет интерфейс администратора WordPress, скрывая плагины безопасности, такие как «Фрагменты кода». Администратору трудно увидеть, что что-то не так.
2. Создание секретных администраторов:
Используя украденные данные cookie, вредоносная программа тайно добавляет пользователей-администраторов в базу данных без ведома владельца сайта. Это дает злоумышленникам возможность продолжать возвращаться, даже если первоначальная проблема устранена.
3. Отправка пользователей, не вошедших в систему, на вредоносные сайты:
Вредоносная программа использует записи DNS для отправки пользователей, не вошедших в систему, или пользователей с определенными IP-адресами на вредоносные веб-сайты. Эти сайты могут пытаться украсть информацию или отправить еще больше вредоносных программ.
4. Отслеживание IP-адресов и сеансов:
Чтобы не выглядеть подозрительно, вредоносная программа отслеживает IP-адреса, чтобы убедиться, что она не отправляет одного и того же человека на вредоносный сайт более одного раза за 24 часа.
Обнаружение и анализ вредоносных программ
Вредоносная программа была обнаружена путем тщательной проверки wp_options таблицы, особенно таких записей, как wpcode_snippets, siteurl, home, и redirection_options.
Для поиска признаков неполадок, таких как <script> теги, функцию eval(), функцию base64_decode() и document.write%, использовался специальный SQL-запрос.
Защита от этой вредоносной программы
Чтобы защитить ваш сайт WordPress от этого вредоносного ПО, выполните следующие действия:
1. Используйте надежные пароли и двухфакторную аутентификацию (2FA):
- Убедитесь, что все учетные записи пользователей, особенно администратора, имеют надежные и уникальные пароли.
- 2FA повышает уровень безопасности, значительно усложняя доступ злоумышленникам.
2. Постоянно обновляйте информацию и проводите регулярные проверки безопасности:
- Убедитесь, что WordPress, темы и плагины всегда актуальны, чтобы устранить любые уязвимости.
- Регулярно проверяйте свой веб-сайт и базу данных на наличие любой подозрительной активности или некорректного кода.
3. Скройте URL-адрес для входа в WP и ограничьте попытки входа в систему:
- Измените URL-адрес для входа в WordPress по умолчанию (
/wp-adminили/wp-login.php), чтобы злоумышленникам было труднее его найти. - Используйте плагины или функции безопасности для ограничения попыток входа в систему, предотвращая атаки методом перебора.
4. Улучшите безопасность базы данных и мониторинг:
- Регулярно сканируйте вашу базу данных на наличие вредоносного кода, особенно в
wp_optionsтаблице. - Используйте инструменты безопасности, которые отслеживают вашу базу данных в режиме реального времени и могут обнаружить необычную активность.
Предупреждение для администраторов WordPress
Этот новый тип вредоносного ПО показывает, насколько важно опережать новые угрозы. Хотя традиционные меры безопасности по-прежнему важны, этот инцидент показывает, что нам нужны более продвинутые способы мониторинга наших баз данных и обнаружения вредоносного ПО.
Если вы обнаружили какую-либо подозрительную активность на своих сайтах WordPress, пришло время провести глубокий анализ.
Ресурс:
- https://wordpress.org/support/topic/new-malware-found-in-wordpress-installations-hidden-admin-users-redirects-and/#post-18010647