वर्डप्रेस wp-vcd Malware क्या है? इसे कैसे ठीक करे

WordPress wp-vcd Malware क्या है?

हमने हाल ही में पुराने plugins और theme में खामियों का लाभ उठाकर एक नई प्रकार की malware वर्डप्रेस वेबसाइटों को देखा। Wp-vcd malware आपकी वेबसाइट में छिपे हुए WordPress admin यूजर्स को जोड़कर बैकडोर बनाता है । इसके अलावा, मुख्य वर्डप्रेस फ़ाइलों को संशोधित करने के लिए malicious कोड के कुछ वेरिएंट देखे गए हैं और / wp- डायरेक्टरी में नई फ़ाइलों को भी जोड़ा गया है।

  1. Wp-vcd malware वेबसाइट पर स्पैम URL बनाता है (जिसे URL इंजेक्शन भी कहा जाता है)
  2. malware एक backdoor बनाता है जो हैकर्स को long time के लिए आपकी वेबसाइट तक पहुंचने की अनुमति देता है
  3. कमजोर साइट पर wp-vcd malware अपलोड करने के लिए हैकर्स वर्डप्रेस प्लग इन और theme में कमजोरियों का फायदा उठाने में सक्षम हैं ।

इस तरह की हैक को वेब एप्लिकेशन फायरवॉल (WAF) और नियमित malware स्कैनिंग से बचाया जा सकता है । वर्डप्रेस कोर फ़ाइलों, plugins और theme के संशोधन की जांच करना भी आवश्यक है।

Wp-vcd मालवेयर हैक के कारण।

  1. हैक का सबसे आम कारण एक nulled theme का उपयोग है – कई मामलों में wp-vcd malware nulled theme वेबसाइटों से हर डाउनलोड किए गए theme के साथ पहले से इंस्टॉल आता है।
  2. यदि आप अपनी साइट के लिए पुराने वर्डप्रेस plugins और theme का उपयोग कर रहे हैं  ।
  3. हैकर्स द्वारा किए गए हैकिंग प्रयासों को ब्लॉक करने के लिए कोई वेब एप्लिकेशन firewall (WAF)install नहीं किया गया है

Wp-vcd malware के लक्षण क्या हैं?

  1. आपकी जानकारी के बिना एक नया WordPress administrator user जोड़ा गया है
  2. अन्य वेबसाइटों की सुरक्षा के लिए wp-vcd malware हमले के कारण आपके होस्टिंग provider ने आपके वर्डप्रेस खाते को suspended कर दिया
  3. एसईओ स्पैम जैसे कि जापानी खोज परिणाम या  Google खोज परिणामों में फार्मा हमला । वर्डप्रेस स्पैम खोज परिणामों और उन्हें ठीक करने के तरीके के बारे में और जानें । नीचे Google स्पैम खोज परिणामों का स्क्रीनशॉट है:
  4. आपकी वेबसाइट के स्रोत में अज्ञात जावास्क्रिप्ट कोड
  5. आपकी वेबसाइट के पृष्ठों को छायादार वेबसाइटों पर पुनर्निर्देशित किया जा रहा है
  6. Wp-अज्ञात फ़ोल्डर में अज्ञात PHP फाइलें जो वर्डप्रेस GitHub रिपॉजिटरी में नहीं हैं
  7. Wp-content / uploads डायरेक्टरी में PHP फाइलें हैं और यह sub-directories हैं

Wp-vcd malware का विश्लेषण क्या करता है?

अपने theme के functions.php में , आप कुछ इस के समान कोड देखना होगा:

<?php if (file_exists(dirname(__FILE__) . '/class.theme-modules.php')) include_once(dirname(__FILE__) . '/class.theme-modules.php'); ?>

इस कोड में class.theme-मॉड्यूल.php  फ़ाइल शामिल है जो वास्तव में install (सक्षम / अक्षम) अन्य themeों में wp-vcd malware install करता है और अन्य सभी malicious फ़ाइलों को बनाता है।

मालवेयर कोड का कोड स्निपेट:

<?php
 
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2); 
DEFINE('MAX_ITERATION', 50); 
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);

$GLOBALS['WP_CD_CODE'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...
if (!file_exists(ABSPATH . 'wp-includes/wp-tmp.php')) {
 @file_put_contents(get_template_directory() . '/wp-tmp.php', $tmpcontent);
 if (!file_exists(get_template_directory() . '/wp-tmp.php')) {
 @file_put_contents('wp-tmp.php', $tmpcontent);
 }
 }

जैसा कि हमने पहले खंड में चर्चा की थी, यह कोड 100010010 के समान नाम वाला एक नया administrator user बनाएगा । इस बैकडोर admin अकाउंट का उद्देश्य यह सुनिश्चित करना है कि हैकर वेबसाइट को एक्सेस करने में सक्षम है, भले ही आप malicious कोड को हटा दें – मूल रूप से, ताकि हमलावर आपकी वेबसाइट पर बाद के समय में हमला कर सकें।

Wp-vcd मालवेयर संक्रमण को कैसे साफ़ करें

अपने सर्वर पर नीचे की फ़ाइलों / तारों की घटनाओं के लिए खोजें और उनकी सामग्री की जांच करें। वर्डप्रेस कोर GitHub रिपॉजिटरी या theme / प्लगइन निर्देशिका में संबंधित फ़ाइलों के साथ फ़ाइल सामग्री का एक अलग चेक चलाएँ । आप SSH का उपयोग करके या अपने IDE का उपयोग करके या तो approach (या दोनों) का उपयोग कर सकते हैं।

Approach 1 – सर्वर पर उन फ़ाइलों की खोज करें जो आमतौर पर wp-vcd हैक से infected होती हैं

  1. wp-includes/wp-vcd.php
  2. wp-includes/wp-tmp.php
  3. wp-content/themes/*/functions.php (all themes installed on the server whether active or not)
  4. class.theme-modules.php
  5. class.wp.php
  6. admin.txt
  7. codexc.txt
  8. code1.php
  9. class.theme-modules.php (inside the theme folder)

Approach 2 – infected मालवेयर फ़ाइलों में पाए जाने वाले स्ट्रिंग पैटर्न की खोज करें

  1. tmpcontentx
  2. function wp_temp_setupx
  3. wp-tmp.php
  4. derna.top/code.php
  5. stripos($tmpcontent, $wp_auth_key)

वर्डप्रेस की सुरक्षा कैसे करें और backdoor से सुरक्षित रहें

  1. एक साधारण सुरक्षा रणनीति बनाएं:
    1. स्वच्छ – सुनिश्चित करें कि आपकी वेबसाइट की फाइलें और डेटाबेस 100% साफ और malware मुक्त हैं
    2. सुरक्षा – पुन: संक्रमण प्रयासों को अवरुद्ध करने के लिए एक वेब अनुप्रयोग firewall (WAF) install करें
    3. मॉनिटर – यदि फ़ाइलों / डेटाबेस ने छेड़छाड़ की है, तो यह जांचने के लिए नियमित malware स्कैन चलाएं
  2. अप्रयुक्त वर्डप्रेस theme हटाएं (भले ही अक्षम हो)
  3. पूरी तरह से अपनी वेबसाइट पर Nulled themeों से बचें
  4. वर्डप्रेस कोर, plugins और theme अपडेट करें

ऐसे malware से infected वेबसाइटों को साफ करना हमेशा आसान नहीं होता है। क्योंकि, जब वे एक वेबसाइट पर सक्रिय हो जाते हैं, तो वे विभिन्न प्रकार के malware कोड इंस्टॉल करके वेबसाइट के अन्य क्षेत्रों को भी infected करते हैं। इसके अलावा, यह विशेष रूप से malware एक backdoor को भी बनाता है जो बुरे लोगों को आपकी साइट पर पूर्ण नियंत्रण प्राप्त करने की अनुमति देता है। इसलिए, एक प्रभावी सुरक्षा रणनीति बनाना महत्वपूर्ण है जो आपकी वेबसाइट का गहन विश्लेषण करती है। और बाद में आपकी वेबसाइट से हैक को पूरी तरह से हटा देता है।

Leave a Reply

Your email address will not be published. Required fields are marked *