Что за вирус напал на сайт wordpress'a и как он попал на хостинг?

Question

[savinov_ao]

День добрый! Знакомый попросил разобраться с его сайтами. В корне сайта лежат файлы admin.php, ajax.php, menu.php, themes.php, file/title.php, javascript.php и т.д. (всего 33 файла), все одинакового размера в 23148 байт, начало файла:

<?php ${"\x47\x4c\x4f\x42\x41LS"}["ki\x72g\x6c\x68\x72d"]="\x69\x70";${"\x47\x4c\x4fB\x41L\x53"}["f\x6aze\x76k"]="\x72e\x66\x65\x72\x65r";${"\x47\x4cO\x42A\x4cS"}["\x78\x6a\x63\x63\x72\x78fv\x66\x6e\x79"]="\x66\x75\x6e\x63";${"\x47\x4cOB\x41\x4c\x53"}["\x79t\x6bo\x6c\x6ej"]="\x68";${"GLO\x42AL\x53"}["\x70\x74\x6f\x65\x78\x75\x7a\x76\x6apl\x6c"]="h\x65\x61d\x65\x72s";${"G\x4c\x4f\x42\x41\x4c\x53"}["\x6d\x69\x68\x63\x6a\x79p\x6d"]="re\x73";${"G\x4cO\x42A\x4c\x53"}["\x70u\x6f\x6e\x6fm"]="h\x5f\x64\x65\x74\x65c\x74e\x64";${"\x47\x4cO\x42A\x4cS"}["\x7a\x66e\x69\x67\x76\x67\x6ar"]="\x64a\x74\x61"

Декодированный вид: www.unphp.net/decode/5e4a984491b820e1363e92c0091f2f49

Результат вирустотала: https://www.virustotal.com/ru/file/fd82de4bb7b5641...

Полный оригинальный код вируса: https://dl.dropboxusercontent.com/u/22105529/db.php

Вопросы:
1. Каков функционал вируса? Я не нашёл встречи eval, кавычек ` и system, как еще можно исполнять системные команды в php ?
2. Как он мог попасть на хостинг? Знакомый божится, что FTP паролей на его компьютере не хранилось. Хотелось бы установить лазейку, чтобы гарантировать неповторение заражения.

Answer 1

[D']

1) Разбираться в обфусцированном коде никто не будет, да и не суть важно что там. 99% редиректят мобильных юзеров, другим показывают какую-нибудь хрень и т.д,
2) WP - одна сплошная дырка. Если не обновлять ежедневно и не мониторить в realtime логи сервера, то рано или поздно кто-то пролезет. Выбрали WP? 99% что вас ломанут и поставят левую хрень на сайт.

Comments

[savinov_ao]

Вот оно как, я не знал что у WP так плохо с безопасностью. Но всё-таки вероятнее всего ошибка в одном из плагинов? Вы не подскажите, реально ли установить по оставшимся логам виновника?

Список плагинов:
akismet
callback-request
carousel-without-jetpack
ckeditor-for-wordpress
contact-form-7
easing-slider
sepyra-analytics
share-buttons
slideshow-jquery-image-gallery
testimonials-widget
tinymce-advanced
tinymce-and-tinymce-advanced-professsiona
wp_chathelp
xcalendar
yandex-maps-for-wordpress
yandex-metrica

[D']

savinov_ao: Да там либо в плагине, либо в самом вп. Там ежедневно дырки находят. Смотрите версии плагинов и гуглите "{имя плагина} {версия} exploit"

[savinov_ao]

Спасибо большое!

[Игорь Воротнёв]

D' Normalization: ежедневно? WP - сплошная дырка? Откуда такие утверждения))

[D']

Игорь Воротнёв: простая наблюдательность. Под WP тысячи плагинов, написанных непонятно кем и непонятно как.
Практически ежедневно в том или ином плагине находят то Sql-inj, то XSS, то еще что-то.
80% сайтов на WP вообще не обновляются с момента установки. Ни сам WP, ни плагины к нему.

[Игорь Воротнёв]

D' Normalization: Учитывая, что под управлением WordPress работает черверть сайтов в мире, я почему-то сильно уверен, что ваша наблюдательность охватывает очень узкую часть всех WP сайтов. И, кстати, дыры в левых плагинах != дырявый WP. 80% ну никак не могут "не обновляться с момента установки", потому как существенная часть висит на WordPress.com, где обновления независимо от юзера, еще большой кусок на свежих версиях, которые автоматически обновляются, еще весомый кусок на wp-specific хостингах, где хостер форсит апдейты ядра, еще кусок - на платной поддержке или владелец достаточно продвинут, чтобы сопровождать самостоятельно. Так что, повторюсь, ваша наблюдательность охватывает очень узкую часть всех WP сайтов. Скорее всего это даже одна-три рыночные ниши с узкой географией, соцстатусом etc - со всеми выходящими.

[Игорь Воротнёв]

И да, под WordPress десятки тысяч (или даже сотни тысяч, если считать кастомные) плагинов, и действительно многие из них написаны некачественно и непонятно кем. Их использование - на свой страх и риск, при чем тут WP?

[D']

Игорь Воротнёв: вот только не будем опять эту песню про прекрасный вордпресс разводить? Мы уже несколько раз это обсуждали, и каждый останется при своем мнении.
Вордпресс ломали, ломают и будут ломать всегда. И та малая часть, которая использует автообновления - ничтожна, по сравнению с теми, кто установив сайт, даже не знаю что там что-то можно обновлять и зачем это вообще.
А потом они с криками "Ааа меня взломали" бегут на все известные сайты и просят "почистить" сайт от вредителей.

И тут вина и самого вордпресс, и тех кто создает на нем сайты, и тех кто заказывает на нем разработку сайтов.

[Игорь Воротнёв]

D' Normalization: В том, что вы говорите, есть доля правды, естественно. Проблема в том, что вы делаете бредовые обобщения и округляете ваши цифры в сторону очень сильного увеличения, оперируя при этом не четкими фактами, а цифрами на основании "собственных наблюдений". И это очень сильно искажает картинку. В первую очередь - у вас в голове, во вторую, поскольку вы этими "данными" делитесь на публичных ресурсах, в головах начинающих юзеров/разработчиков, которые могут воспринять ваши слова всерьез.

Answer 2

[Natan]

savinov_ao Вам в первую очередь нужно найти и залатать брешь, через которую к Вам на сайт был добавлен левый код.

Обычно проблемы кроются в косяках с настройками сайта, косяках с правами на файлы и каталоги или кривых плагинах/темах. Сам wordpress может быть достаточно надежен, если все загружено из надежных источников и установлено/настроено должным образом, регулярно выполняются обновления. Причина многих жалоб на "взломы" и "дырявый wp" в действиях пользователей и в популярности этой CMS.

Почитайте о уязвимостях в wordpress security white paper и 10 советов по безопасности WordPress.

На хабре почитайте про выявление вредоносных PHP файлов, если сами не можете искать уязвимость, можете попробовать поискать ее плагинами или спец сервисами. Плагин Theme Authenticity Checker (TAC) проверяет файлы темы, плагин Exploit Scanner, плагин Anti-Malware. Сразу кучу плагинов ставить не надо, ставьте по одному, ищите уязвимость - если не видит, отключайте и пробуйте другой плагин. На постоянной основе можете держать включенным какой-нибудь простенький плагин для мониторинга изменений в файлах и папках, что-то вроде WordPress File Monitor (давно не обновлялся, но до сих пор исправно работает).

Попробуйте проверить свой сайт с помощью яндекс Manul или сканер AI-Bolit.

P.S.
Если есть подозрения, что доступ к Вашему сайту или аккаунту имеют третьи лица, то смените все пароли, начиная с паролей от хостинга заканчивая паролем админа в wordpress.

Регулярно делайте бекапы файлов и базы данных, и храните их как можно дольше на другом сервере.