倡萌在去年11月底发布了《警惕通过WordPress盗版主题和插件传播的恶意代码WP-VCD》,警告大家不要使用盗版的WordPress主题和插件,这个名为 WP-VCD 的恶意脚本已经在世界多个盗版网站上传播,被添加在各种各样的WordPress盗版主题和插件中,很多人中招!
WP-VCD通过修改 WordPress 核心文件并在/wp-includes目录中添加新文件,WP-VCD恶意软件在WordPress站点中创建了后门。注入恶意软件后,它会在WordPress后台上秘密创建一个用户名为“100010010”的管理员账户。这样一来,它便可以访问您的网站,然后可以注入更多的恶意代码以供以后滥用。
盗版冠状病毒插件传播WP-VCD
最近新冠病毒在全球的影响非常大,国外有人开发了 COVID-19 Coronavirus-Live Map 之类的WordPress插件,用来显示新冠病毒在全球的疫情信息。攻击者就将这类插件加上了 WP-VCD 恶意脚本然后发布到多个盗版网站进行传播。
最近,MalwareHunterTeam与BleepingComputer分享了一些WordPress插件示例,这些示例在VirusTotal上被标记为“ Trojan.WordPress.Backdoor.A”。
这些WordPress插件和另一个我们发现的zip文件包含似乎是合法的商业插件,名为“ COVID-19 Coronavirus-Live Map WordPress插件”,Coronavirus Spread Prediction Graphs和“ Covid-19”。
BleepingComputer分析了它们之后,我们发现所有这些插件都包含一个“ class.plugin-modules.php”文件,其中包含恶意代码和各种与WP-VCD插件通常相关的base64编码的字符串。
安装插件后,它将在上面显示的WP_CD_CODE变量中使用base64编码的PHP代码,并将其保存到/wp-includes/wp-vcd.php文件中。
然后,它将代码添加到/wp-includes/post.php文件中,以便每次在站点上加载页面时自动自动加载wp-vcd.php。
该插件还将搜索所有已安装的主题,并将另一个base64编码的PHP代码添加到每个主题的functions.php文件中。
通过这些文件修改,WP-VCD代码现在将重新连接到其C2服务器,以接收要在WordPress主机上执行的命令。 这些命令通常用于注入可在该站点上显示恶意广告或执行重定向到其他站点的代码。
检查你的网站是否被WP-VCD感染
根据对 WP-VCD 的分析,可以从以下几个方面检查是否受到 WP-VCD 感染:
- 网站是否被恶意跳转到其他网站,或被google、QQ 等标识为危险网站
- 网站是否有来路不明的管理员账号,比如 100010010
- 网站的
/wp-includes/
目录下是否有wp-vcd.php
文件 - 网站的 /wp-includes/post.php 文件是否被添加了 wp-vcd.php 之类的代码
- 网站主题的 functions.php 文件是否被添加了 base64编码的PHP代码
- 网站各个插件的文件夹内,是否有名为 class.plugin-modules.php 的文件
如果发现有可疑的地方,建议找专业的人来协助处理,也可以联系倡萌付费处理。
保护您的网站免受WP-VCD感染
由于WP-VCD恶意软件是通过盗版WordPress主题和插件传播的,因此避免感染您的网站的最佳方法是不要从未经授权的网站下载任何WordPress插件和主题。
因为具有一点PHP知识的人都可以轻松修改插件和主题,所以下载和安装盗版插件始终是非常不安全的。
强烈建议您仅从授权站点购买和下载WordPress主题和插件,不要安装任何盗版主题和插件,因为您的站点很有可能会受到威胁。
除了不要到国外下载盗版主题以外,连同国内传播的各种来路不明的国内外高级主题和插件、汉化主题和插件都要小心,因为国内发布的这些国外高级主题和插件,几乎都是从国外盗版网站下载的!!存在非常大的安全隐患!!
抓紧查了一下管理的一些站点,暂时没发现感染情况
我说呢,去年刚玩wordpress的时候乱下载主题和插件测试,时不时自动多出几篇英文的文章,太恐怖了,还是买主题为妙