Сложен троянец на WordPress

троянец

Типичният зловреден софтуер за WordPress е приставка или тема (обикновено пиратска), която съдържа дупка или изпраща спам или генерира врати или инжектира връзки или прави и двете. Общата схема на заразяване е съвсем проста: уебмастъра инсталира полезна добавка, в която е опакован троянецът.

Автор: Денис Синегубко

Троянец (или троянски кон) е програма, която под прикритието на красива обвивка тихо обръща всякакви тъмни дела. Типичният зловреден софтуер за WordPress е приставка или тема (обикновено пиратска), която съдържа дупка или изпраща спам или генерира врати или инжектира връзки или прави и двете. Общата схема на заразяване е съвсем проста: уебмастъра инсталира полезна добавка, в която е опакован троянецът.

Наскоро попаднах на находка, която бих нарекъл „сложен“ троянец - злонамерен софтуер (инсталиран без знанието на уеб администратора), който разширява функционалността на WordPress.

Троянецът изпълнява типичен трик, познат на тези, които работят с търсачките по черни начини (напоследък много сайтове на WordPress са заразени по този начин). Изводът е, че зловредният софтуер създава много врати за фармацевтични ключове и пренасочва потребителите от търсачките към сайтове на трети страни. Кодът на зловредния софтуер ми се стори доста интересен.

Основен злонамерен файл wp-core.php се поставя в основната директория на сайта, след което към index.php се добавя следният код:

ако (файл_съществува ('wp-core.php'))

Подобна вложка изглежда много подозрителна и предполага, че файлът wp-core.php е инсталиран изкуствено и заобикаля всички конвенции и стандарти.

Нека да разгледаме вътре wp-core.php.

Защита срещу груба сила в wp-core.php

Wp-core.php съдържа над 500 реда код. В началото на файла се казва, че wp-core.php е част от пакета за сигурност на WordPress, който "Предпазва WordPress CMS от груба сила и се използва пренасочване въз основа на 302-ра грешка за защита срещу изтичане на тежестта на страницата за търсене ". След това се казва, че първо трябва да се качи файлът директно.

троянец

Фигура 1: Начало на файла wp-core.php

Що се отнася до мен, описанието не изглежда много убедително, но нека разгледаме по-отблизо кода.

Забавлението започва в средата на файла.

Първо се подава wp-login.php се инжектира защита от груба сила.

сложен
Фигура 2: Код, модифициращ файла wp-login.php

След това отидете на раздела Auth 2-ро ниво: