Botnet против wordpress

0
804
ssl-wordpress-security

Аналитики антивирусных программ фиксируют повышение числа атак на сайты в интернет в том числе на сайты сделанные на wordpress. Чётко фиксируется рост нагрузки на фаерволы, и число botnet атак.

Задача вируса превратить сайт в «куклу», которая приносит доход злоумышленникам, рассылает mailware или подменяет содержимое страниц для определённых типов устройств для разных стран.

Как проникает botnet на сайт wordpress

Если вы используете «вылеченные от жадности» платные темы wordpress — вы клиент №1 для ботнета.

Если вы клиент не добросовестного хостинга, и администратор может передать ваши данные третьей стороне  — вы тоже в первом списке.

Используя перегрузку сервера, во время обновления, вредоносный скрипт пытается внедрить скрипт на хостинг «жертвы».

Согласно статистике, Botnet сначала посещает страницу wp-login.php, а затем, как обычный администратор устанавливает новый вредоносный плагин или заражает существующие.

Что заливают на хостинг, пораженному ботнетом, сайту

Botnet использует WSO shell оболочку для бэкдор управления сайтом, которая обычно кладётся в wp-ajax.php, где лежит себе спокойно и имитирует чистый белый файл принадлежащий чистой установке движка.

Вирус создаёт следующие фейковые папки, якобы относящиеся к установленной теме:

/wp-content/plugins/wp-db-ajax-made
/wp-content/plugins/Akismet3
/wp-content/themes/sketch
/wp-content/plugins/wp-db-ajax-made1/wp-ajax.php
/wp-content/plugins/wp-db-ajax-made/wp-ajax.php
/wp-content/plugins/ml-slider/wp-ajax.php
/wp-content/plugins/siteorigin-panels/wp-ajax.php
/wp-content/plugins/wp-db-ajax-made/wp-ajax.php
/wp-content/plugins/Akismet3/wp-ajax.php
/wp-content/plugins/accesspress-twitter-auto-post/wp-ajax.php
/wp-content/plugins/advanced-custom-fields/wp-ajax.php
/wp-content/plugins/ajax-thumbnail-rebuild/wp-ajax.php
/wp-content/plugins/bb_press/wp-ajax.php
/wp-content/plugins/bb_press1/wp-ajax.php
/wp-content/plugins/bb_press2/wp-ajax.php
/wp-content/plugins/oa-social-login/wp-ajax.php
/wp-content/plugins/wp-db-ajax-made-1/wp-ajax.php
/wp-content/plugins/wp-db-ajax-made-2/wp-ajax.php
/wp-content/plugins/wp-db-ajax-made/wp-ajax.php
/wp-content/themes/sketch/404.php
/wp-content/themes/twentyeleven/wp-ajax.php
/wp-content/themes/twentyfourteen/author.php
/wp-content/themes/twentyfourteen/wp-ajax.php
/wp-content/themes/twentyten/wp-ajax.php
/wp-content/themes/twentythirteen/wp-ajax.php
/wp-content/themes/twentytwelve/author.php

В дополнении, для активации ботнета, в файл главной страницы перед или после тега body или head вписывается подгрузка кода, лежащего в одной из перечисленных выше папок.

Вредоносный скрипт-инъекция выглядит примерно так:

</head><iframe src="https://goo.gl...

Патернами для поиска могут быть как теги «iframe» так и goo.gl, или другие сокращатели ссылок.

Подробнее о том, как очистить сервер от вируса и защитится от вируса, мы расскажем в следующей статье.

ОСТАВЬТЕ ОТВЕТ