O post Black SEO WordPress Malware apareceu primeiro em Vinicius Arantes.
]]>Esse código é injetado nos arquivos functions.php de todos os temas do site (e não só no tema ativo) e se espalha por todos os sites wordpress dentro do servidor. Isso mesmo, uma instalação wordpress comprometida vai infectar outros sites de outros clientes que estão instalados no mesmo servidor.
Ele é usado para fazer spam de SEO mas pode ser usado para outras coisas também uma vez que abre caminho para a criação de usuários administrativos diretamente no banco de dados.
Como esse malware é um tanto recente e não há muita informação disponível na internet. Então resolvi compilar um pouco do que encontrei, juntar com as minhas investigações e explicar como se livrar dele.
Esse código malicioso aparece, vindo de plugins e temas instalados de fontes não confiáveis (conhecidos como “nulled plugins”). Sites que diponibilizam gratuitamente o download de plugins premiuns/pagos e que, geralmente, adicionam trechos de códigos maliciosos.
Não vou linkar nenhum dos sites maliciosos justamente para não ajudar a espalhar a praga. Mas tenha em mente que, sites que prometem gratuitamente plugins e temas que são pagos, geralmente carregam esse tipo de código malicioso!
Pra ser sincero, não sei qual a necessidade de instalar um plugin “pirata” no sistema. Se você precisa tanto do tal plugin, porquê não apoiar seu desenvolvedor e COMPRAR A LICENÇA?! Desculpa o desabafo.
Ao ativar um plugin desses, um código malicioso é executado adicionando arquivos, injetando códigos, criando tabelas e abrindo a brecha para que o hacker (i)responsável tenha acesso ilimitado ao sistema.
Os indícios de que seu site foi infectado com esse código são:
Esse é o bloco de código adicionado (que pode variar um pouco dependendo do malware instalado):
[gist id=eb4946375575d20a4d21413184680a87]
Se você ficou curioso pra saber mais sobre a estrutura desse malware, o usuário ecrider, criou um repositório no github com a engenharia reversa dos arquivos e seu código descompilado.
E, como ele mesmo avisa: Não tente rodar nenhum dos códigos a menos que você saiba exatamente o que está fazendo. Se possível, execute em um ambiente sandbox controlado para as suas pesquisas e use com cuidado.
O post Black SEO WordPress Malware apareceu primeiro em Vinicius Arantes.
]]>