wp_options
, затрагивая такие записи, как wpcode_snippets
, siteurl
, home
, и redirection_options
.Это позволяет злоумышленникам создавать скрытых пользователей с правами администратора, перенаправлять посетителей на вредоносные веб-сайты и скрывать плагины безопасности от взгляда администратора. Вредоносная программа также использует передовые методы для уклонения от обнаружения, такие как кодировка base64 и отслеживание IP-адресов.
Что делает это вредоносное ПО более тревожным, так это его способность оставаться необнаруженным широким спектром сканеров безопасности.
Отчеты показывают, что 14 основных сканеров, включая известные сканеры безопасности WordPress, не смогли идентифицировать угрозу. Вот список сканеров, которым не удалось идентифицировать эту угрозу.:
Вредоносная программа работает, помещая вредоносный код непосредственно в базу данных WordPress, особенно в таблицу wp_options
. Таким образом, она может избежать обычного сканирования файлов, которое используют многие плагины безопасности.
1. Захват панели администратора
Вредоносная программа изменяет интерфейс администратора WordPress, скрывая плагины безопасности, такие как «Фрагменты кода». Администратору трудно увидеть, что что-то не так.
2. Создание секретных администраторов:
Используя украденные данные cookie, вредоносная программа тайно добавляет пользователей-администраторов в базу данных без ведома владельца сайта. Это дает злоумышленникам возможность продолжать возвращаться, даже если первоначальная проблема устранена.
3. Отправка пользователей, не вошедших в систему, на вредоносные сайты:
Вредоносная программа использует записи DNS для отправки пользователей, не вошедших в систему, или пользователей с определенными IP-адресами на вредоносные веб-сайты. Эти сайты могут пытаться украсть информацию или отправить еще больше вредоносных программ.
4. Отслеживание IP-адресов и сеансов:
Чтобы не выглядеть подозрительно, вредоносная программа отслеживает IP-адреса, чтобы убедиться, что она не отправляет одного и того же человека на вредоносный сайт более одного раза за 24 часа.
Вредоносная программа была обнаружена путем тщательной проверки wp_options
таблицы, особенно таких записей, как wpcode_snippets
, siteurl
, home
, и redirection_options
.
Для поиска признаков неполадок, таких как <script>
теги, функцию eval()
, функцию base64_decode()
и document.write%
, использовался специальный SQL-запрос.
Чтобы защитить ваш сайт WordPress от этого вредоносного ПО, выполните следующие действия:
1. Используйте надежные пароли и двухфакторную аутентификацию (2FA):
2. Постоянно обновляйте информацию и проводите регулярные проверки безопасности:
3. Скройте URL-адрес для входа в WP и ограничьте попытки входа в систему:
/wp-admin
или /wp-login.php
), чтобы злоумышленникам было труднее его найти.
4. Улучшите безопасность базы данных и мониторинг:
wp_options
таблице.
Этот новый тип вредоносного ПО показывает, насколько важно опережать новые угрозы. Хотя традиционные меры безопасности по-прежнему важны, этот инцидент показывает, что нам нужны более продвинутые способы мониторинга наших баз данных и обнаружения вредоносного ПО.
Если вы обнаружили какую-либо подозрительную активность на своих сайтах WordPress, пришло время провести глубокий анализ.
Ресурс: