Hur man åtgärdar wp-vcd malware

Hur man åtgärdar wp-vcd malware hack i WordPress function.php

Vad är WordPress wp-vcd malware?

Vi såg nyligen en ny typ av skadlig kod som infekterar WordPress-webbplatser genom att utnyttja kryphål i föråldrade plugins och teman. Wp-vcd-malware programvara skapar bakdörrar på din webbplats genom att lägga till dolda WordPress-administratörsanvändare. Vidare har vissa varianter av skadliga koder setts för att modifiera i Core WordPress-filer och lägga till nya filer i /wp-include-katalogen.

  • Det wp-vcd-skadliga programmet skapar skräppostadresser på webbplatsen (även kallad URL-injektion)
  • Malware skapar en bakdörr som gör det möjligt för hackare att ha åtkomst till din webbplats under längre perioder
  • Hackare kan utnyttja sårbarheter i WordPress-plugins och teman för att ladda upp wp-vcd-skadlig kod på sårbara webbplatser.

Ett sådant hack kunde ha undvikits med en Web Application Firewall (WAF) och regelbunden skanning efter skadlig programvara. Det är också viktigt att kontrollera ändringar av WordPress-kärnfiler, plugins och temafiler. Tänka på att uppdatering är mycket viktigt.

Anledningar till wp-vcd Malware Hack.

  • Det vanligaste skälet till hacket är användningen av ett nollat tema – wp-vcd-skadliga programvara är i många fall förinstallerat med alla nedladdade teman från nollade temasajter.
  • Om du använder föråldrade WordPress-plugins och teman för din webbplats.
  • Ingen webbapplikations Firewall WAF (web application firewall) är installerad för att blockera malware som gjorts av hackare

Vilka är symptomen på wp-vcd skadliga programvara?

  • En ny användare av WordPress-administratörer har lagts till utan din vetskap
  • Ditt webbhotell stänger ditt WordPress-konto på grund av wp-vcd malware attack för att skydda andra webbplatser
  • SEO spam som Japanska sök resultat eller Pharma attack i Google Search Resultat. Lär dig mer om WordPress-sökresultat för spam och hur du fixar dem. Nedan visas skärmdumpen av Googles skräppostresultat:
  • Okänd JavaScript-kod i källan till din webbplats
  • Sidor på din webbplats omdirigeras till dåliga webbplatser
  • Okända PHP-filer i mappen wp-includes som inte finns i WordPress grundmappar
  • Det finns PHP-filer i katalogen wp-content / uploads och det är underkataloger

Analys av vad wp-vcd-skadlig programvara gör?

I filen functions.php i ditt tema kan du se någon kod som liknar den här:

Bild på skadlig kod

Den här koden innehåller filen class.theme-modules.php som faktiskt installerar wp-vcd-skadliga programvara i de andra installerade teman (aktiverade / inaktiverade) och skapar alla andra skadliga filer.

Kodavsnitt för skadlig kortkod:

Bild på skadlig kod

Bild på skadlig kod

Som vi har diskuterat i det tidigare avsnittet skulle denna kod skapa en ny adminanvändare med ett namn som liknar 100010010. Målet med detta bakdörradministratorkonto är att se till att hackaren kan komma åt webbplatsen även om du tar bort den skadliga koden – i princip så att angriparna kan attackera din webbplats vid en senare tidpunkt.

Hur du rengör wp-vcd skadlig kod infektion

Sök efter förekomster av nedanstående filer / strängar på din server och granska innehållet. Kör en diff-kontroll av filinnehållet med motsvarande filer i WordPress core GitHub repository eller katalog för tema / plugin. Du kan använda någon av metoderna (eller båda) med SSH eller med din IDE.

Tillvägagångssätt 1 – Sök efter filer på servern som vanligtvis är infekterade med wp-vcd-hacket

  1. wp-includes/wp-vcd.php
  2. wp-includes/wp-tmp.php
  3. wp-content / teman / * / features.php (alla teman installerade på servern om de är aktiva eller inte)
  4. class.theme-modules.php
  5. class.wp.php
  6. admin.txt
  7. codexc.txt
  8. code1.php
  9. class.theme-modules.php (inuti temamappen)

Tillvägagångssätt 2 – Sök efter strängmönster som finns i infekterade skadliga filfiler

    1. tmpcontentx
    2. function wp_temp_setupx
    3. wp-tmp.php
    4. derna.top/code.php
    5. stripos($tmpcontent, $wp_auth_key)

Hur du skyddar WordPress och håller dig säker från bakdörren

      1. Skapa en enkel säkerhetsstrategi:
        1. Ren – Se till att dina webbplatsfiler och databaser är 100% rena och fria från skadlig kod
        2. Skydda – Installera en webbapplikationsfirewall (WAF) för att blockera försök med re-infektion
        3. Övervaka – Kör vanliga skanningar för skadlig programvara för att kontrollera om filer / databas har manipulerats
      2. Ta bort oanvända WordPress-teman (även om de är inaktiverade)
      3. Undvik helt Nulled-teman på din webbplats
      4. Uppdatera WordPress-kärnan, plugins och teman

Det är inte alltid lätt att rengöra infekterade webbplatser med sådan skadlig programvara. Eftersom de, när de har aktiverats på en webbplats, tenderar att infektera andra områden på webbplatsen också genom att installera olika typer av malware kod. Dessutom skapar den här malware skadan också en bakdörr som gör det möjligt för de onda människorna att få full kontroll över din webbplats. Därför är det viktigt att skapa en effektiv säkerhetsstrategi som gör en grundlig analys av din webbplats. Och sedan tar bort hacket helt från din webbplats.

 

Artikel är med tillstånd hämtad hos:
www.getastra.com/

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *