Heute werde ich über diesen vor ein paar Stunden entdeckten Fehler aus mehreren Gründen sprechen, erstens den Fehler im All In One WordPress Sicherheits- und Firewall-Plugin melden und zweitens den bekannten Malware-Pharma-Hack beschreiben , der 2011 erweitert wurde. Mit der Beschreibung von Pharma Hack Wir lernen einen der Wege kennen, wie Hacker Malware infizieren können, und können uns so schützen.
Beschreibung des Fehlers im All In One WordPress Sicherheits- und Firewall-Plugin
Der Fehler ist, dass das Plugin jede in der Datenbank gespeicherte option id fwp , die den Text fwp als bösartig enthält. Identifizieren Sie diese option id als Malware-Pharma-Hack und entfernen Sie sie anschließend.
Das Problem ist, dass der fwp Text häufig von anderen Plugins verwendet wird, die die option id speichern, sodass die anderen Plugins nach dem Löschen nicht mehr ordnungsgemäß funktionieren.
Plugin-Entwickler haben den Datenbank-Scanner vorübergehend deaktiviert, da es nicht ausreicht, sich ausschließlich auf die fwp Textzeichenfolge zu verlassen, um zu entscheiden, ob eine Site von Pharma-Hack infiziert ist oder nicht.
Wenn Sie dieses Plugin verwenden, können Sie es vorübergehend deaktivieren, bis ein Update veröffentlicht wird.
Erkennen und entfernen Sie Pharma-Hack-Malware
Ich finde diesen Teil des Artikels interessant, denn wenn wir wissen, wie Hacker uns angreifen, können wir uns verteidigen. Obwohl es sich um eine Malware des Jahres 2011 handelt, die heute praktisch nicht mehr existiert, kann diese Methode von anderer Malware ausgenutzt werden. Es ist also gut, sie zu kennen.
Was macht Pharma Hack?
Das Ziel dieser Malware ist es, Links in die Einträge unseres WordPress-Blogs einzufügen und seltsamerweise nur die Einträge mit mehr Verkehr auszuwählen. Die von Ihnen eingegebenen Links sind nur für Suchmaschinen sichtbar. Es werden keine visuellen Änderungen angezeigt, die uns darauf aufmerksam machen. Es ändert auch den Titel des Eintrags für etwas, das mit pharmazeutischen Produkten zusammenhängt.
Wie funktioniert Pharma Hack?
Das Neue an dieser Malware war, dass sie den Schadcode als option id in der Datenbank gespeichert hat . Trotzdem müssen Sie auch eine schädliche Datei auf dem Server speichern, um den in der Datenbank gespeicherten Code zu entschlüsseln. Obwohl die Funktionen base64_decode() und eval() , werden diese nicht direkt in PHP-Dateien geschrieben. Aus diesem base64_decode() war es schwierig, diese Malware zu erkennen.
Pharma-Hack-Dateien werden normalerweise im Ordner plugins gespeichert (obwohl wir sie auch im Ordner wp-content/uploads/ , wp-includes/ , wp-includes/images/ ) Das sind immer PHP-Dateien, deren Name mit .cache.php , .bak.php , .old.php oder als Präfix class- oder db- . Beispiele für Namen dieser Malware wären:
akismet.cache.php
akismet.bak.php
akismet.old.php
class-akismet.php
db-akismet.php
Der Inhalt der Archive kann hier und hier eingesehen werden .
Für die Datenbank müssen wir die Tabelle wp_options untersuchen und die Texte als Feld option_name verwenden:
wp_check_hash
class_generic_support
widget_generic_support
ftp_credentials
fwp
rss_7988287cd8f4f531c6b94fbdbc4e1caf (cadena alfanumérica de 32 caracteres)
Wie wir sehen können, müssen wir nicht nur unsere WordPress-Dateien überwachen, sondern auch die Datenbank. Ich hoffe, dies hat Ihnen geholfen, Ihre WordPress-Blogs frei von Malware zu halten. Zum Schluss möchten wir Sie daran erinnern, dass Sie WordPress-Malware mit dem Sucuri-Plugin bereinigen können .
