کمپین ریدایرکت وردپرس هک شده

کمپین ریدایرکت وردپرس هک شده

در طی هفته‌های گذشته، حملاتی به وردپرس گزارش شده است که موجب ریدایرکت شدن آن  به سایت‌های مخرب می‌شود، این قبیل حملات که به  Malware Redirects مشهور هستند ممکن است بلافاصله نمایان شده  یا اینکه کشف آن زمان زیادی طول بکشد. در ادامه با بررسی های بیشتر این موضوع همراه ما باشید.

 


آسیب‌پذیری‌‌هایی که به تازگی در پلاگین‌های تولید شده توسط NicDark وصله (patch) شده‌اند ، با درخواست‌های مشابه AJAX مورد سوء استفاده قرار گرفته‌اند! در این حالت در افزونه یک عمل nopriv_ AJAX ثبت شده و حتی بازدیدکننده غیر مجاز هم می‌تواند تنظیمات وردپرس را دست بگیرد .در این درخواست‌ها هر دو مورد key->value در تنظیمات وردپرس در دسترس بوده و مستقیما در دیتابیس اعمال می‌شود.

 

این آسیب‌پذیری حتی می‌تواند به هکر امکان ویرایش دلخواه تنظیمات وردپرس را بدهد؛ برای مثال اینکه به عنوان کاربر مدیر (Administrator) ثبت نام کند!
چطور مشکل ریدایرکت به سایت مخرب در وردپرس را رفع کنیم
این کمپین از 31 جولای شروع شده و پلاگین‌های زیر را هدف قرار داده است:
Woocommerce User Email Verification
Yellow Pencil Visual Theme Customizer
Coming Soon and Maintenance Mode
Blog Designer
Advanced Access Manager
Bold Page Builder
Live Chat with Facebook Messenger
Yuzo Related Posts
Visual CSS style editor
WP Live Chat Support
Shape Lightbox
Hybrid Composer
All NicDark plugins
تزریق اسکریپت مخرب و هدایت وردپرس به سایت دیگر، می‌تواند با ویرایش هر نوع فایلی که در وردپرس بارگذاری می‌شود انجام شده و یا اینکه به طور مستقیم در دیتابیس اعمال گردد
  • تزریق جاوااسکریپت در فایل‌های PHP
  • ویرایش فایل‌های JS
  • تزریق اسکریپت در نوشته و برگه(دیتابیس)
  • تزریق اسکریپت در widget (دیتابیس)
  • ویرایش فایل htaccess.
در ادامه 20 آی پی برتر مرتبط بااین کمپین را مشاهده می‌کنید- آی پی‌های پر رنگ در لیست آی‌پی‌های پر حمله جهان هستند:
1. 192.99.38.186
2. 51.38.69.87
3. 62.210.252.196
4. 164.132.44.97
5. 159.203.81.46
6. 217.182.95.250
7. 51.255.43.81
8. 37.187.198.246
9. 54.36.246.232
10. 45.55.152.56
11. 198.199.100.240
12. 162.241.175.243
13. 188.213.175.168
14. 45.40.143.13
15. 188.213.166.219
16. 192.169.227.95
17. 193.70.2.138
18. 149.202.75.164
19. 192.169.157.142
20. 104.238.97.201
بیشترین مسیرهای ریدایرکت در کمپین حملات ریدایرکت به دامنه‌های زیر اشاره می‌کند:
wiilberedmodels.com
bullgoesdown.com
greatinstagrampage.com
gabriellalovecats.com
jackielovedogs.com
tomorrowwillbehotmaybe.com
activeandbanflip.com
developsincelock.com
blueeyeswebsite.com
cantstopwhitelines
دلیل اصلی هک شدن سایت‌های وردپرس، استفاده از نسخه‌های منسوخ شده وردپرس و پلاگین‌های آن می‌باشد؛ بنابراین به‌روزرسانی هسته و پلاگین‌های وردپرس به طور منظم بسیار ضروری خواهد بود.
کمپین حملات ریدایرکت به سایت وردپرس


راهکارهایی برای رفع مشکل ریدایرکت به سایت‌های مخرب 

قبل از انجام هر کاری از وردپرس (دیتابیس) بکاپ تهیه نمائید

wp_options را بررسی کنید چون هکر‌ها معمولا نشانی وردپرس و نشانی سایت را با هم تغییر می‌دهند؛ البته گاهی هم ممکن است اسکریپت‌های بیشتری در wp_posts یا wp_options تزریق شده باشد، که باید به دقت بررسی شود.

بسیاری از سایت‌های آلوده شده از نسخه‌های قدیمی و منسوخ شده افزونه AAM استفاده می‌کردند


فایل function.php  پوشه قالب را بررسی می‌کنیم که باید با کد اصلی وردپرس خام با نسخه یکسان برابر باشد.

 

 


وارد پوشه wp-includes شده و فایل‌های زیر را حذف نمائید:

wp-vcd.php
wp-tmp.php
wp-feed.php

با استفاده از phpMYAdmin می‌توان دیتابیس را بررسی کرد کافیست عبارات %wiilberedmodels% و %bullgoesdown%را جستجو کنید، احتمالا در نوشته‌ها یا صفحات وردپرس یا حتی تصاویر موجود در کتابخانه بتوانید اسکریپت‌های مخرب را پیدا کنید،پیشنهاد می‌کنیم از ستون post_content در جدول  wp_posts شروع کنید ،البته توجه داشته باشید که آدرس سایت بدافزار را در جدول wp_options هم می‌توانید پیدا کنید (home و site url)

جستجوی wiilberedmodels در دیتابیس از طریق phpMyAdmin

اگر جستجو به این شکل در سایت و دیتابیس برای شما سخت است می‌توانید از سایت Aw Snap استفاده نمائید که شامل ابزارهایی برای چاپ کد صفحات و تجزیه و تحلیل است؛ از این طریق باید بتوانید اسکریپت‌های مورد استفاده و کلمات کلیدی مربوط به دامنه‌های اسپم را پیدا نمائید.

در آخر هم کش wp-rocket  یا  هر افزونه کش دیگری که نصب شده را حذف نموده ، رمزعبورها را تغییر دهید، پوسته‌های بلا استفاده را حذف کرده و پلاگین‌های رایگان را به جدیدترین نسخه آپدیت نمائید. (فراموش نکنید رمز جدید دیتابیس را در wp-config  جایگزین کنید)

سایت را در حالت incognito مرورگر بررسی کرده و از پاکسازی آن مطمئن شوید.


البته همواره یک سوی امنیت در سایت‌ها ، استفاده از میزبانی وب معتبر و حرفه‌ای است که با به‌ روزرسانی به موقع بسته‌های نرم‌افزاری سمت سرور ، امنیت وردپرس را تکمیل نماید؛ برای میزبانی سایت وردپرس استفاده از هاست لینوکس حرفه ای Nvme ایران را پیشنهاد می‌کنیم.