ویروس وردپرس در پلاگین نال شده
مدت زمان تقریبی مطالعه: 2 دقیقه و 55 ثانیه

ویروس وردپرسی جدید در پلاگین های نال شده

جزئیات

دسته بندی
منتشر شده در 1395/10/21
پسندها 0
بازدید 1086
نظرات 6
منبع

توضیحات

ویروس جدید در پلاگین و پوسته نال شده

حتما برای شما هم پیش اومده که به دنبال افزونه ای بودید ولی با جستجو در گوگل، متوجه شدید که اون افزونه جزو افزونه های پرمیوم وردپرس بوده و با توجه به اینکه خیلی بهش نیاز داشتید به سراغ سایت هایی می روید که به رایگان این افزونه ها رو در اختیار شما میزارن و به اصطاح پلاگین ها و قالب های نال شده ارائه می کنند.

قبلا هم در محفل وردپرس در مورد پلاگین ها و قالب های نال شده دو تا مطلب نوشتیم با عناوین زیر:

  1. با دانلود پلاگین های رایگان هک شوید!
  2. ویروسی شدن قالب وردپرس!

در هر کدوم از مطالب بالا از روش های متفاوتی استفاده کرده بودن،در این نوشته به روش جدید و اینکه کدها در کدام قسمت های سایت وردپرسی شما تاثیر میذارن خواهیم پرداخت.

تا حالا از خودتون سوال کردین که چرا این سایت ها،پلاگین ها و قالب های پرمیوم  وردپرس رو به صورت رایگان تو وب سایتشون قرار میدن؟

خب دلایل متعددی میتونه داشته باشه که به ذکر چند نکته بسنده میکنم:

۱- با قرار دادن لینک سایت خودشون در قالب های رایگان و در برخی موارد حتی پولی ( یکی از وب سایت هایی که در زمینه فروش قالب و پلاگین تو ایران فعالیت میکنه لینک سایتشو داخل قالب های فروشیش جاگذاری میکرده شاید هنوزم داره این کار رو انجام میده) بک لینک برا خودشون درست کنن.

۲- هک و نفوذ هم یکی دیگر از دلایل میتونه باشه خرابکاران معمولا قسمت های مختلف این پلاگین ها و قالب ها را در فایل های سورس، دستکاری کرده و کد های مخرب (معمولا بصورت کد شده) را تزریق میکنند که همیشه دردسرهای بسیار زیادی نسبت به بهای واقعی این پلاگین ها برای مدیران وب ایجاد میکند.

۳- جاسوسی اطلاعات در برخی موارد نیز مشاهده شده هدف اصلی نال کننده هیچ عملیات خرابکارانه ای مانند آسیب به سایت و یا ارسال اسپم نیست، بلکه هدف اصلی این نوع نالرها جاسوسی از محتواب وب سایت شما و کاربران شما میباشد!

۴- Iframe استفاده از Iframe های پنهان نیز یکی از اهداف نالرها میباشد، با این فریمهای مخفی هر لینک یا سایتی را میتوانند در قالب شما تزریق نمایند.

و چند نکته دیگر که تا این حد فکر کنم کافی باشه حالا بریم سراغ ویروسی که میخوایم در موردش بنویسیم.

برای مثال یک افزونه رو از سایت dlwordpress دانلود میکنیم.(افزونه فرم ساز quform):

 

تصویری از فایل های افزونه نال شده و افزونه اورجینال رو با هم می بینیم:

داخل افزونه نال شده (تصویری که با کادر قرمز رنگ مشخص شده) یه فایل php رو میبینیم که ظاهرا اسمش به اسم پلاگین quform نزدیک تره و کاربران وردپرسی هیچ شکی به این فایل نمیکنن چون احتمالا هیچ وقت فایل های پلاگین یا قالب دانلود شده رو بررسی نمیکنن.

کدهای داخل این فایل که با کادر قرمز رنگ مشخص شده چی هستن ( کدها رو به صورت تصویر میزارم البته چون طولانی هستن به صورت قطعه قطعه میزارم ):

ویروس جدید پلاگین های نال شدهویروس جدید در پلاگین و پوسته نال شده

خب کدهای داخل این پوشه رو دیدین،حالا ببینیم این کدها تو کدوم بخش های سایت وردپرسی ما تزریق شده است:

 

۱- کدهای زیر داخل functions.php قالب وردپرس تزریق میشن:

 

۲- دو تا فایل php به نام های class.wp.php و wp-cd.php در مسیر wp-includes ایجاد میشه.

۳- یک جدول به نام wp_datalist داخل دیتابیس ساخته میشه.

و یک بخش مهم دیگه که تو تصاویر زیرش خط قرمز کشیده شده یعنی آدرس زیر:

http://apiword.press/addadmin_1.txt

آدرس فوق شامل یک متن obfuscate شده هست که شامل کدهای php هست (تصویر پایینی):

 

کدها رو تو سایت  https://toolki.com/en/php-decoder بصورت دیکد شده درمیاریم ( تصویر پایینی دیکد شده ی کدهای بالا هست ):

کدهای مخرب پلاگین های نال شده

 

مهمترین قسمتش هم همین قسمت از کدهاست که زیرشون توی تصویر خط کشیده شده است:

۱- ایجاد یک کاربر با دسترسی administrator

۲ – بخشی که با کادر سفید رنگ مشخص شده هم اطلاعات کاربری هست که فرد مورد نظر میخواد ایجادش کنه: یوزر آیدی،یوزر نیم،پسورد کاربر،ایمیل کاربر و…

 

خب بررسی کدهای مخرب داخل پلاگین نال شده به پایان رسید.امیدوارم که دوستان از این به بعد بیشتر به امنیت وب سایت خودشون اهمیت بدن و از دانلود پلاگین ها و قالب های نال شده وردپرس خودداری کنند.

نکته ای که حائز اهمیت هست اینه که دوستان در وهله اول از دانلود این نوع محصولات پرهیز کنند و اما برای دوستانی که این محصولات رو بر روی سایتشون نصب کردن و اکنون به دنبال راه حل هستند که بدونن آیا این کدها و فایل ها در وب سایتشون هست یا نه و اگه مطمئن هستن که سایتشون آلوده شده و میخوان از شر این کدهای مخرب و فایل های ایجاد شده خلاص بشن راه حل های زیر رو دنبال کنند.

۱- نصب افزونه wordfence وردپرس و اسکن کردن وردپرس توسط این افزونه که فایل های هسته وردپرس شما رو با نسخه اصلی مقایسه میکنه و اگه فایل اضافی به هسته وردپرس افزوده بشه تشخیص میده و به شما اطلاع میده.( نکته : این افزونه فقط کار اسکن رو انجام میده و هیچ کاری در راستای حذف کدها و فایل های مخرب انجام نمیده )

۲- پلاگین یا قالب نال شده رو از هاستتون حذف کنید.

۳- تمامی کدهایی که در مراحل بالا گفته شد رو پیدا کنید و حذفشون کنید.

 

اگر شما هم تجربه یا پیشنهادی دارین میتونین به اشتراک بذارین.

برچسب ها

درباره نویسنده

مطالب مرتبط

نظرات

  1. داود
    داود

    سلام خسته نباشید پستی ک گذاشتید خوب بود
    منتهی در مورد کد هایی که باعث میشن پاپ اپ باز بشه توی سایت هم ی توضیح بدید لطفا

    1. محمد حسینی
      محمد حسینی

      سلام خوشحالم که مورد توجه تون قرار گرفته.راه و روش های بسیار زیادی برای اعمال کدهای مخرب وجود داره و هر روز هم از روش های جدیدتری استفاده میشه فقط این نکته رو در نظر داشته باشید که هیچ افزونه یا قالب تجاری رو که بصورت رایگان داره عرضه میشه از هیچ سایتی دانلود و نصب نکنید.چرا که پنیر مجانی فقط تو تله موش پیدا میشه.در ضمن بررسی این موارد هم کار تخصصی هست در صورت اطمینان از آلوده شدن وب سایت تون می تونید درخواست تون رو مطرح کنید تا بررسی های بیشتر در ازای دریافت هزینه انجام بشه و مشکل تون رفع بشه.

  2. حسین موسوی
    حسین موسوی

    خیلی عالی بود گرجه من میدونستم که همچین کاری میکنند ولی نحوه اینکارو نمیدونستم ما مایل به همکاری با شما هستیم !

    1. محمد حسینی
      محمد حسینی

      بله روش های بسیار زیادی وجود داره که این یکی از روش ها بود.حتی سایت های ایرانی هم که در زمینه اسکریپت و محصولات نال شده فعالیت می کنند از این کارها می کنند.در خدمتتون هستیم.از طریق ارتباط با ما می تونید در ارتباط باشید.

  3. AhmaD
    AhmaD

    سلام
    خیلی ممنون بابت این پست، امروز پلاگین های نال شده که دانلود کرده بودم وقتی اکستراکت کردم Eset smart security هم برام نشان داد اون فایل ویروس هست و حذفش کرد
    حجم اون فایل ویروسی هم دقیقا هم حجم همون فایلیه که شما تو سایت گذاشتید عکسش رو

    1. محمد حسینی
      محمد حسینی

      سلام،خوشحالیم که مفید واقع شده.

دیدگاه خود را بیان کنید

ایمیل شما نمایش داده نخواهد شد. بخش های مورد نیاز با * علامت گذاری شده اند.

This site uses Akismet to reduce spam. Learn how your comment data is processed.