Недавние расследования взломанных сайтов на платформе WordPress выявили два вредоносных файла, специально разработанных для манипулирования учетными записями администраторов и обеспечения постоянного доступа злоумышленников. Замаскированные под легитимные компоненты, эти скрипты способны восстанавливать доступ даже после частичной очистки сайта, что делает угрозу особенно опасной для владельцев и администраторов.
Что обнаружено
Исследование показало наличие двух ключевых компонентов вредоносного ПО:
- plugins/DebugMaster.php — замаскирован под плагин DebugMaster Pro. Внешне похожий на законный компонент, файл содержит сильно запутанный и вредоносный код, который:создаёт учетную запись администратора с жестко закодированными учетными данными;
скрывает себя из списков плагинов;
отправляет украденную информацию на сервер удалённого управления (C2). - wp-user.php — вторичный скрипт, предназначенный для усиления закрепления злоумышленника. Его поведение включает:мониторинг существующих пользователей WordPress;
при обнаружении пользователя с именем «справка» удаление и воссоздание этой учётной записи с паролем злоумышленника;
если учётная запись не найдена — создание новой учётной записи администратора;
внедрение внешних скриптов, воздействующих на посетителей сайта, за исключением администраторов или IP-адресов, внесённых в белый список вредоносом.
Последствия для сайта и пользователей
Комбинация этих файлов создаёт многоуровневую систему бэкдоров и закрепления, из‑за чего последствия включают:
- постоянный доступ злоумышленников даже после частичной очистки;
- возможность удалённого выполнения команд и передачи данных на C2;
- инъекции внешних скриптов, отслеживание поведения посетителей и возможность дальнейших компрометаций для конечных пользователей;
- значительное усложнение восстановления нормальной работы сайта и повышение риска повторных взломов.
«Эти данные подчеркивают изощренные методы, используемые злоумышленниками для обеспечения надежного доступа через многоуровневые бэкдоры, что подчеркивает необходимость тщательного соблюдения правил безопасности в среде WordPress.»
Рекомендации по очистке и защите
Владельцам и администраторам сайтов рекомендуется немедленно предпринять следующие шаги:
- удалить DebugMaster.php из каталога plugins и файл wp-user.php;
- провести аудит всех учётных записей пользователей и удалить несанкционированные; особое внимание уделить учётным записям с правами администратора;
- сбросить все пароли администраторам и другим привилегированным аккаунтам;
- обновить ядро WordPress, плагины и темы до последних версий;
- проверить журналы сервера и мониторить исходящий трафик на предмет соединений с неизвестными доменами (C2);
- проверить наличие других веб‑шеллов, подозрительных cron‑задач и файловых изменений с помощью инструментов file integrity monitoring;
- восстановить сайт из чистой резервной копии, если есть сомнения в полноте очистки;
- при необходимости сменить ключи API, учетные данные FTP/SSH и другие секреты, которые могли быть скомпрометированы;
- внедрить постоянный мониторинг безопасности и регулярные аудиты (сканирование на наличие malware, review файловой структуры и прав доступа).
Вывод
Обнаруженные DebugMaster.php и wp-user.php демонстрируют, насколько изощрёнными могут быть современные угрозы для WordPress: злоумышленники используют маскировку, скрытие в списках плагинов и механизмы автоматического восстановления учётных записей, чтобы сохранить доступ. Немедленные и комплексные меры по очистке, обновлению и мониторингу необходимы для снижения риска повторной компрометации.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Вредоносные файлы WordPress: DebugMaster.php и wp-user.php".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.