Popup yang tidak diingini Disebabkan oleh Injectbody / Injectscr Plugins

February 13, 2018

Pada 8 Februari, 2018, kami menyaksikan gelombang baru infeksi WordPress yang melibatkan dua plugin yang berniat jahat: suntikan dan . Plugin ini menyuntik skrip obfuscated, membuat pop-up / pop-unders yang tidak diingini. Setiap kali pengunjung mengklik di mana saja di laman web yang dijangkiti, iklan tersebut dihantarkan iklan.

Lokasi Pemalam

Plugin berniat jahat mempunyai struktur fail yang sangat serupa:

Injectbody

wp-content / plugins / injectbody /

  • injectbody.php: 2146 bytes (kod plugin)
  • inject.txt: 2006 bytes (disuntikkan JavaScript)

Injectscr

wp-content / plugins / injectscr /

  • injectscr.php: 1319 bytes (kod plugin)
  • inject.txt: 3906 bytes (disuntikkan JavaScript)

Fungsi plugin ini juga sangat serupa. Sebagai nama mereka, mereka menyuntik skrip dari inject.txt dan menyembunyikan kehadiran mereka pada senarai pemalam dalam papan pemuka WordPress.

Kod Plugin

Mari kita lihat kod pendek dan mudah untuk plugin ini:

 kod suntikan "width =" 650 "height =" 644 ".
<figcaption class=injectbody.php
 kod suntikan "lebar =" 645 "ketinggian =" 650 "> [] [19199013]injectscr.php</figcaption></figure>
<p> Seperti yang anda lihat, kedua-dua plugin termasuk fungsi untuk menyembunyikan kewujudannya: <strong> injectscr_hide </strong> dan <strong> injectbody_hide </strong>. Fungsi ini mengalih keluar plugin berniat jahat dari senarai pemalam aktif. Hanya penyerang, yang boleh log masuk ke WordPress menggunakan pengguna admin yang berniat jahat <strong> INJECTBODY__ADMIN </strong> atau <strong> INJECTSCR__ADMIN </strong>atau secara alternatif menggunakan kelayakan pentadbir sah dan tambah <strong> "INJECTBODY__ADMIN = 1" </strong> atau <strong> "INJECTSCR__ADMIN = 1" </strong> Mendapatkan parameter dalam URL, dapat mengesan kehadiran plugin berniat jahat pada tapak web yang dijangkiti. </p>
<h2> Skrip disuntik </h2>
<p> Sekali laman web telah dijangkiti, plugin <strong> penyuntik yang tersembunyi </strong> mula menyuntik skrip yang tersentuh ke laman web: </p>
<pre> var _ <strong> 0xc3ce </strong> = ["x32x20x35x3Dx7Bx61x3Ax27<strong> dikeluarkan untuk brevity </strong> ... regExp baru (_0xc3ce [7] + _0xf262x5 (_0xf262x3) + _0xc3ce [7]_ 0xc3ce [8]), _ 0xf262x4 [_0xf262x3])}}; return _0xf262x1} (_ 0xc3ce [0] _0xc3ce [1]), 0, {})) </pre>
<p> Ia menambah skrip iklan <strong> Viglink </strong> dengan "<strong> ca8b3984fdf6c76dc2fe3325feb58eba </strong>" ke halaman </p>
<p> Penyuntik <strong> injectscr </strong> menyuntik skrip yang sama dengan obyek: </p>
<pre> var _ <strong> 0x3fdb </strong> = ["x39x20x62x28x6Bx29x7Bx33x20<strong> dikeluarkan untuk keringkasan </strong> (_ 0x3fdb [0]62,63, _0x3fdb [3] [_0x3fdb[2] ] (_ 0x3fdb [1]), 0, {})) </pre>
<p> Skrip ini menambahkan "<strong> onclick </strong>" yang membuka tetingkap popup dengan URL berikut: <strong> hxxp: //1aqy.xn--o1aqy [.] xn – p1ai / stats / fri.php? affid = 79803 </strong> Ini adalah langkah pertama dalam rangkaian pengalihan iklan. <strong> <br /> </strong> </p>
<p> Apabila popup dibuka, skrip menetapkan "<strong> clickund_expert = 1 </strong>" cookie selama satu jam dan menghapuskan dirinya dari <strong> pengendali acara onlick </strong></p>
<h2> Analisis Log </h2>
<p> Setelah menganalisis log laman web yang dijangkiti, kami mendapati bahawa penyerang menambah plugin selepas mereka telah masuk ke papan pemuka WordPress: </p>
<pre> 110.45.58.78 - - [08/Feb/2018:10:02:38 -0500]
"GET http: //redacted/wp-login.php HTTP / 1.1" 200 4571 "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko / 20100101 Firefox /
110.45.58.78 - - [08/Feb/2018:10:02:41 -0500]
"<strong> POST </strong> http: // redacted / <strong> wp-login.php </strong> HTTP / 1.1" <strong> 302 </strong> ; x64; rv: 50.0) Gecko / 20100101 Firefox / 793A "
110.45.58.78 - - [08/Feb/2018:10:02:43 -0500]
"GET http: // redacted / wp-admin / <strong> plugin-install.php </strong> HTTP / 1.1" 200 83955 "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: / 20100101 Firefox / 793A "
110.45.58.78 - - [08/Feb/2018:10:02:49 -0500]
"<strong> POST </strong> http: //redacted/wp-admin/update.php? <strong> action = upload-plugin </strong> HTTP / 1.1" <strong> 200 </strong> 32291 "-" "Mozilla /5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko / 20100101 Firefox / 793A "
110.45.58.78 - - [08/Feb/2018:10:02:55 -0500]
"GET http: //redacted/wp-admin/plugins.php? Action = <strong> activate </strong> & plugin = <strong> injectscr% 2Finjectscr.php </strong> & _wpnonce = e22822dda4 HTTP / 1.1" 302 - "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko / 20100101 Firefox / 793A" </pre>
<pre> 217.64.111.207 - - [09/Feb/2018:02:59:18 -0500]
"GET http: //redacted/wp-login.php HTTP / 1.1" 200 4565 "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko /
217.64.111.207 - - [09/Feb/2018:02:59:20 -0500]
"POST http: //redacted/wp-login.php HTTP / 1.1" 302 - "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko /
217.64.111.207 - - [09/Feb/2018:02:59:22 -0500]
"GET http: //redacted/wp-admin/plugin-install.php HTTP / 1.1" 200 83025 "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko /
217.64.111.207 - - [09/Feb/2018:02:59:26 -0500]
"POST http: //redacted/wp-admin/update.php?action = upload-plugin HTTP / 1.1" 200 31747 "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko / 20100101 Firefox / 7003 "
217.64.111.207 - - [09/Feb/2018:02:59:30 -0500]
"GET http: //redacted/wp-admin/plugins.php?action=activate & plugin = injectscr% 2Finjectscr.php & _wpnonce = 0c451eb625 HTTP / 1.1" 302 - "-" "Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv : 50.0) Gecko / 20100101 Firefox / 7003 "</pre>
<p> Permintaan pemasangan plugin ini kemungkinan besar automatik. Ia hanya memerlukan <strong> 10-20 saat </strong> semenjak membuka laman log masuk untuk memasang dan mengaktifkan sepenuhnya pemalam. Permintaan pemasangan ini sebahagian besarnya berasal dari IP rawak, tetapi kami telah menyenaraikan beberapa alamat IP yang telah mengambil bahagian dalam serangan ini: <strong> 95.221.199.162 </strong><strong> 186.95.168.192 </strong> <strong> 220.79.30.57 </strong><strong> 1.179.244.194 </strong>. Permintaan ini menggunakan ejen pengguna Firefox palsu seperti "<strong> Mozilla / 5.0 (Windows NT 6.1; Win64; x64; rv: 50.0) Gecko / 20100101 Firefox / 4912 </strong> <strong> 4912 </strong> atau <strong> 793A </strong> – bagaimanapun, versi terkini Firefox pada masa ini hanya <strong> 58.0.1 </strong> (Firefox /</p>
<h2> Jangkitan Berkaitan </h2>
<p> Penyelidik kami telah mengenal pasti beberapa laman web dengan <strong> suntikan / penyuntik </strong> plugin yang sebelum ini dijangkiti pada bulan Januari dengan jangkitan yang berkaitan. Malware ini menghantar e-mel spam menggunakan fail yang dimuat naik dengan nama rawak seperti "<strong> class-mailer.php </strong>", "<strong> wp-scsys.php </strong>", "<strong> wpn-sops .php </strong> "," <strong> wp-sclouds.php </strong> ", dan sebagainya. Serangan ini juga mencipta backdoors dan skrip muat naik fail di lokasi rawak di server. </p>
<h2> Mitigasi </h2>
<p> Terdapat beberapa cara untuk mengurangkan risiko jangkitan ini. </p>
<p> 1. Jangan bergantung pada apa yang anda lihat dalam antara muka admin WordPress, kerana beberapa plugin aktif mungkin tersembunyi daripada anda. Sila periksa w <strong> p-kandungan / plugin </strong> secara manual untuk apa-apa yang tidak sepatutnya berada di sana. Sekiranya ada, anda harus mengalih keluar [wp-content/plugins/injectbody/</strong> dan <strong> wp-content / plugins / injectscr / </strong></p>
<p> 2. Hacker masuk ke WordPress untuk memasang plugin. Ini bermakna mereka sama ada mengetahui kata laluan admin anda atau mencipta pengguna admin palsu untuk diri mereka sendiri jadi penting bahawa anda melakukan yang berikut: </p>
<p style= 2.1. Tukar semua kata laluan WordPress (sekurang-kurangnya untuk pentadbir) ASAP!

2.2. Semak senarai pengguna, terutama yang mempunyai peranan pentadbir. Anda harus memadamkan mana-mana pengguna dengan log masuk berikut: INJECTBODY__ADMIN atau INJECTSCR__ADMIN .

3. Pastikan laman web anda tidak dijangkiti dengan jenis malware yang lebih lama yang dikaitkan dengan penyerang yang sama – atau sebarang malware lain, untuk perkara itu. Pastikan untuk mengawasi bagi mana-mana backdoors juga, kerana mereka sering menyumbangkan kepada reklamasi laman web.

Untuk maklumat lanjut mengenai pembersihan laman web yang dilancarkan di WordPress, anda boleh menyemak panduan kami pada keselamatan WordPress .



Sumber

Bacaan WordPress Yang Lebih Menarik!

Game Addict – Clan War Gaming Theme
Themeforest,
Themeforest,

Game Addict – Clan War Gaming Theme

Pembuat Rojak - May 28, 2018

Penagih Permainan - Melepaskan semangat anda. Permainan Addict adalah tema untuk puak-puak dan permainan. Ia membolehkan anda dapat membuat dan…

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi
Elegant Themes,
3 views
Elegant Themes,
3 views

Dapatkan Pakej Layout Pejabat Doktor Percuma & Bersih untuk Divi

Pembuat Rojak - May 27, 2018

Hey Divi Nation! Terima kasih kerana menyertai kami untuk ansuran seterusnya Inisiatif Rekaan Divi mingguan kami; di mana setiap minggu,…

Leave a Comment

Your email address will not be published.