WPCoreSys/WPCoreSys.php nowy „ciekawy” wirus na WordPress

Jakiś czas temu otrzymałem zadanie odwirusowania strony pewnej firmy opartej o CMS WordPress, ciekawostką było to, że strona poza kilkoma tysiącami postów nie miała innych objawów typowych dla infekcji WordPress’a tj Przekierowywanie na strony dla dorosłych z wyników wyszukiwania (szczególnie mobilnych), masowego wysyłania spamu czy wykonywania dziwnych operacji w tle.

Wpisy będące linkami do utworzonej treści np. o crackach do Pokomon Go nie były widoczne w kokpicie, nie były widoczne też kategorie, w których to zostały umieszczone – ciekawe było też to, że nie był one dostępne w kokpicie z poziomu żadnego narzędzia do masowego usuwania czy masowych działań na kategoriach.

Wyglądało to o tak:

przyklad-strony-ztrescia-wpcoresys-php

Zaczęło się standardowo

A więc same wpisy były dodane bezpośrednio do bazy danych – standardowe i podstawowe rzeczy przy czyszczeniu stron z infekcji tj reinstalacja WordPress, reinstalacja wtyczek, która sama wskazała rozwiązanie problemu.

Poznaj WPCoreSys.php

Mały plik, będący wtyczką widmo – widniał w edytorze wtyczek, ale już na liście wtyczek go nie było.

wpcoresys-php-wirus-wordpress-edytor-wtyczek

Jak udało mi się namierzyć – wg Google jest około 300 widocznych katalogów tej „wtyczki”

wpcoresys-php-wirus-wordpress

W moim przypadku był jeden taki katalog z plikiem WPCoreSys.php oraz download.log

Po usunięciu tego katalogu, a przed wykonaniem pozostałych czynności związanych z usługą rozpocząłem

Usuwanie wirusów z bazy danych WordPress

Mogłem to zrobić szybciej – po usunięciu wtyczki ukryte wpisy i kategorie pojawiły się, ale chciałem mieć 100% pewności, że usunę wszystko i nie spotka mnie żadna niespodzianka.

wpcoresys-php-wirus-wordpress-edytor-wtyczek

Tutaj autor wirusa się niezbyt postarał, na pierwszy rzut oka było widać prawidłowość – wszystkie posty miały ten sam ciąg znaków kończący wpis wyglądało to mniej więcej tak jak wskazałem na pierwszym zrzucie z innej strony, niż mój pacjent.

A więc wystarczyło znaleźć wszystkie posty korzystając z REGEX zawierające ten ciąg w komórce post_content i można było je łatwo usunąć, potem usunąć powiązane z nimi informacje w pozostałych tabelach i problem po dokończeniu czynności naprawczo-zabezpieczających przeszedł do historii.

Którędy wszedł wirus do świeżej instalacji WordPressa ?

Myślę, że nie zdziwi Ciebie fakt, że prawdopodobnie przez… wtyczkę od zabezpieczeń, ponieważ oprócz niej była tam tylko wtyczka techniczna (zawierająca shortcody dla ułatwienia obsługi) oraz JetPack.

Od kiedy hakerzy przejmują się SEO?

Powyżej w pierwszy zrzucie pokazałem tylko początek postu, ponieważ sam post wyglądał jak typowy opis na jakimś gamingowym blogu, miał nawet video i social proof jak niżej:

przyklad-strony-ztrescia-wpcoresys-php-2

 

Oceń ten artykuł jako pierwszy
Powiązane tematy: WordPress
Strona w trakcie przebudowy :) Wróć niebawem, aby zobaczyć różnice.Na stronie mogą znajdować się linki polecające (affiliacyjne), które pozwalają utrzymać bloga. Zakup z mojego polecenia nie generuje dla Ciebie dodatkowych kosztów, a ja otrzymam prowizje od kwoty zapłaconej.

Przyłącz się do dyskusji

Bądź na bieżąco

Newsy i promocje - Marketing & WordPress

Maksymalnie trzy wiadomości w miesiącu dopasowane do Ciebie. Polityka Prywatności dostępna jest tutaj. Dla każdego subskrybenta prezent niespodzianka.

Dziękuję za zapis.

Niebawem przyjdzie do Ciebie mail powitalny. Twoja darmowa godzina na pracę w #WordPress została aktywowana.

Chcesz być powiadamiany o zagrożeniach i błędach w WordPress?
Bez Twojej dodatkowej zgody nie wyślę Tobie innych wiadomości - tylko te dotyczące bezpieczeństwa

Zamknij