В последнее время специалисты по информационной безопасности столкнулись с новой угрозой, направленной на WordPress-сайты. Вредоносный код был обнаружен в папке mu-plugins, о существовании которой многие пользователи даже не подозревают. Эта находка подтверждает тенденцию, замеченную еще в марте, когда злоумышленники активно использовали скрытые файлы в этой директории для заражения сайтов. Новый бэкдор отличается высокой степенью скрытности, устойчивостью к обнаружению и способностью долгое время оставаться незамеченным.
Описание
Файл с вредоносным кодом был найден по пути "./wp-content/mu-plugins/wp-index.php". Папка mu-plugins (must-use plugins) - это особая директория в WordPress, содержащая плагины, которые автоматически активируются и не могут быть отключены через административную панель. Это делает их идеальным инструментом для скрытого внедрения вредоносного ПО.
Анализ показал, что скрипт действует как загрузчик: он получает вредоносный код с удаленного сервера, используя URL, закодированный методом ROT13, и сохраняет его в базе данных. После этого загруженные данные временно записываются на диск и исполняются. Это позволяет злоумышленникам получать постоянный доступ к сайту и выполнять произвольный PHP-код удаленно.
ROT13 - это простой метод обфускации, при котором каждая буква в тексте сдвигается на 13 позиций в алфавите. Он не обеспечивает реальной защиты и легко обратим, но часто используется в киберпреступлениях для маскировки URL или вредоносных инструкций. Например, строка "HelloWorld" после обработки ROT13 превращается в "UryybJbeyq".
Ключевые признаки заражения
При анализе бэкдора были выявлены следующие индикаторы компрометации: файл "wp-content/mu-plugins/wp-index.php", закодированный URL ("uggcf://1870l4ee4l3q1x757673d.klm/peba.cuc", который расшифровывается в "hxxps://1870y4rr4y3d1k757673q[.]xyz/cron.php"), использование ключа "_hdra_core" в базе данных, временные файлы ".sess-[hash].php" в директории загрузок и скрытый административный пользователь с именем "officialwp".
Эти признаки позволяют определить, был ли сайт скомпрометирован.
Как работает вредоносный код?
Файл "wp-index.php" в папке mu-plugins служит точкой входа для зловреда. Он автоматически загружается WordPress, что обеспечивает его постоянную активность. Скрипт декодирует URL из ROT13, загружает зашифрованные данные, проверяет их валидность и сохраняет в базе данных под ключом "_hdra_core". Затем вредоносный код декодируется и выполняется, после чего удаляется, оставляя минимум следов.
Удаленный payload, расположенный по адресу "cron.php", представляет собой сложную вредоносную инфраструктуру. Он включает в себя скрытый файловый менеджер, внедренный в директорию темы как "pricing-table-3.php", который позволяет злоумышленникам просматривать, загружать и удалять файлы. Доступ к нему защищен кастомным HTTP-заголовком. Кроме того, создается административный пользователь "officialwp", и загружается дополнительный вредоносный плагин "wp-bot-protect.php", который активируется принудительно и помогает восстановить заражение в случае удаления.
Опасный функционал включает в себя смену паролей у популярных учетных записей администраторов (таких как "admin", "root", "wpsupport"), что позволяет злоумышленникам сохранять контроль над сайтом даже после попыток восстановления доступа.
Последствия заражения
Получив административные права, злоумышленники могут делать на сайте все что угодно: устанавливать дополнительное вредоносное ПО, воровать данные пользователей, изменять контент или использовать ресурсы для атак на другие серверы. Бэкдор остается незамеченным из-за своей способности скрывать следы, блокировать антивирусные плагины и маскироваться под легитимные файлы.
Как защититься?
Чтобы минимизировать риск заражения, необходимо регулярно обновлять WordPress, темы и плагины, скачивать их только из проверенных источников, использовать сложные пароли и двухфакторную аутентификацию. Также важно проверять файлы темы и плагинов на наличие подозрительного кода.
Дополнительной мерой защиты может стать отключение редактирования файлов через wp-config.php с помощью директивы "define('DISALLOW_FILE_EDIT', true);".
Вывод
Обнаруженный бэкдор в mu-plugins демонстрирует, насколько изощренными становятся атаки на WordPress. Использование скрытых директорий и сохранение payload в базе данных усложняют обнаружение угрозы. Владельцам сайтов следует быть бдительными, регулярно сканировать все компоненты системы и оперативно реагировать на подозрительную активность.
Если сайт уже заражен, рекомендуется обратиться к профессионалам для полной очистки и мониторинга безопасности. В противном случае даже после удаления вредоносного кода злоумышленники могут восстановить доступ и продолжить атаку. Современные киберугрозы требуют комплексного подхода к защите, и только своевременные меры могут предотвратить катастрофические последствия.
Индикаторы компрометации
URLs
- https://1870y4rr4y3d1k757673q.xyz/cron.php
