În ecosistemul WordPress sunt răspândiți viruși de tot felul, unii mai capabili, alții făcuți de începători. În contextul dezcvoltării AI și crearea de viruși WordPress a devenit mai facilă pentru actorii rău-intenționați. WP_C_Ozci este un virus pe care l-am descoperit recent, deși sunt sigur că are ceva ani în spate. Infectarea se face prin pluginuri nulled (acele pluginuri pe care le găsiți pe alte siteuri la prețuri incredibil de mici). Virusul este atât de slab intrucât afectează structura fișierelor, generând erori de funcționare. Deși, nedetectat de antivirus, este detectat prin faptul că produce erori. Curățarea nu a fost dificilă. Aceasta s-a realizat în următorii pași:
- am descărcat câteva fișiere pe care le-am recunoscut vizual că nu aparțin wordpress și le-am analizat. Se pare că nici măcar nu au încercat tehnici mai complexe de obfuscare ca să fie greu de interpretat.
- în baza analizei, am putut identifica și alte fișiere care conțineau același cod
- într-unul dintre fișiere am identificat că se utiliza o opțiune din wp_options cu numele transient_sys_cache_vx. Evident că am efectuat o căutare după această variabilă pe care am șters-o. Am căutat și după vx atât în baza de date cât și în fișiere
- cea mai complicată etapă a fost curățarea pluginurilor vechi, a temei și a pluginurilor fantomă
- în mu-plugins am identificat un alt plugin fantomă
- în users am identificat utilizatori cu drept de admin care au fost eliminați
- după toate curățările, am securizat siteul, am optimizat permisiunile și am eliminat pluginul nulled.
Lasă un răspuns