不要使用盗版的WordPress主题和插件,这个名为 WP-VCD 的恶意脚本已经在世界多个盗版网站上传播,被添加在各种各样的WordPress盗版主题和插件中,很多人中招!
[alert type=”info” icon=”” size=”0″]WP-VCD通过修改 WordPress 核心文件并在/wp-includes目录中添加新文件,WP-VCD恶意软件在WordPress站点中创建了后门。注入恶意软件后,它会在WordPress后台上秘密创建一个用户名为“100010010”的管理员账户。这样一来,它便可以访问您的网站,然后可以注入更多的恶意代码以供以后滥用。[/alert]
盗版冠状病毒插件传播WP-VCD
最近新冠病毒在全球的影响非常大,国外有人开发了 COVID-19 Coronavirus-Live Map 之类的WordPress插件,用来显示新冠病毒在全球的疫情信息。攻击者就将这类插件加上了 WP-VCD 恶意脚本然后发布到多个盗版网站进行传播。
最近,MalwareHunterTeam与BleepingComputer分享了一些WordPress插件示例,这些示例在VirusTotal上被标记为“ Trojan.WordPress.Backdoor.A”。
这些WordPress插件和另一个我们发现的zip文件包含似乎是合法的商业插件,名为“ COVID-19 Coronavirus-Live Map WordPress插件”,Coronavirus Spread Prediction Graphs和“ Covid-19”。
BleepingComputer分析了它们之后,我们发现所有这些插件都包含一个“ class.plugin-modules.php”文件,其中包含恶意代码和各种与WP-VCD插件通常相关的base64编码的字符串。
安装插件后,它将在上面显示的WP_CD_CODE变量中使用base64编码的PHP代码,并将其保存到/wp-includes/wp-vcd.php文件中。
然后,它将代码添加到/wp-includes/post.php文件中,以便每次在站点上加载页面时自动自动加载wp-vcd.php。
该插件还将搜索所有已安装的主题,并将另一个base64编码的PHP代码添加到每个主题的functions.php文件中。
通过这些文件修改,WP-VCD代码现在将重新连接到其C2服务器,以接收要在WordPress主机上执行的命令。 这些命令通常用于注入可在该站点上显示恶意广告或执行重定向到其他站点的代码。
检查你的网站是否被WP-VCD感染
根据对 WP-VCD 的分析,可以从以下几个方面检查是否受到 WP-VCD 感染:
- 网站是否被恶意跳转到其他网站,或被google、QQ 等标识为危险网站
- 网站是否有来路不明的管理员账号,比如 100010010
- 网站的
/wp-includes/目录下是否有wp-vcd.php文件 - 网站的 /wp-includes/post.php 文件是否被添加了 wp-vcd.php 之类的代码
- 网站主题的 functions.php 文件是否被添加了 base64编码的PHP代码
- 网站各个插件的文件夹内,是否有名为 class.plugin-modules.php 的文件
如果发现有可疑的地方,建议找专业的人来协助处理,也可以联系倡萌付费处理。
保护您的网站免受WP-VCD感染
由于WP-VCD恶意软件是通过盗版WordPress主题和插件传播的,因此避免感染您的网站的最佳方法是不要从未经授权不明来路的免费网站下载任何WordPress插件和主题。
延伸阅读
- 为什么您的WordPress网站会容易被黑客攻击 (1.000)
- 保护您的WordPress网站免受蛮力攻击 (1.000)
- Limit Login Attempts Reloaded汉化版限制用户登录尝试次数WP插件V2.13.0 (1.000)
- 3个禁止复制文章内容文字/禁用右键和F12的WordPress插件 (1.000)
- 如何安全备份WordPress博客网站数据? (1.000)
- 如何预防WordPress网站常见黑客攻击? (1.000)
- Ultimate Member插件低于2.1.12版本存在安全漏洞【WordPress插件安全性】 (RANDOM - 1.000)
