چگونه از حملات بدافزار wp-vcd به وب سایت خود جلوگیری کنیم؟
اگر افزونه امنیتی وردپرس سایت شما پیام Backdoor: PHP/wp-vcd.5473 – malicious code; را به شما نشان دهد ممکن است سایت شما به بدافزار wp-vcd آلوده شده باشد.
بدافزار wp-vcd از اولین معرفی خود خرابی های زیادی ایجاد کرده است. در طول سال ها، این روش برای پنهان کردن در تم ها و پلاگین ها با استفاده از نقاط ضعف امنیتی استفاده می شده است. طبق آمارها تاکنون بیش از 20،000 وب سایت وردپرس آلوده به بدافزار wp-vcd شناسایی شده است. همچنین این بدافزار می تواند با ایجاد یک مدیر پنهان راه را برای خود باز کند. از این رو، درک اصول آلودگی به بدافزار قبل از حذف آن بسیار مهم است. بنابراین، قبل از بحث در مورد علائم و حذف بدافزار wp-vcd ، در مورد اصول بدافزار wp-vcd بحث خواهیم کرد.
بدافزار WP-VCD چیست؟
بدافزار wp-vcd مهمترین تهدید برای امنیت وب سایت وردپرس است. از طریق تم ها یا افزونه های نال شده(null) یا غیرفعال که توسط سایت های مرتبط با وردپرس توزیع می شوند پخش می شود و سپس خود را بر روی وب سایت هدف گسترش می دهد. نگران کننده تر آن است که در طی همه گیری covid-19، گزارش های متعددی مبنی بر تزریق این بدافزار به لینک های مختلف مربوط به آمار ویروس کرونا منتشر شده است. بدافزار wp-vcd قطعه ای از کد PHP است که کاربری را به عنوان مدیر پنهان به وب سایت اضافه می کند و URL های مخربی را در محتوای وب سایت شما تزریق می کند. شکل کلی بدافزار را به صورت کد در زیر می بینید:
Source: Malcare
بدافزار wp-vcd چگونه کار می کند؟
برای درک کامل خطرات حمله بدافزار wp-vcd، درک چگونگی یک حمله که باعث تغییر رفتار وب سایت وردپرس شما می شود ضروری است. وقتی یک کد مخرب تزریق می شود، معمولاً در هسته اصلی وب سایت قرار می گیرد مانند functions.php/index.php. وقتی کاربری از طریق مرورگر از وب سایت شما بازدید می کند، بدافزار wp-vcd با فایل های وب سایت شما ارتباط می گیرد اگر این فایل ها در وب سایت شما پیدا نشوند functions.php بارها و بارها اجرا می شود و یک حلقه یا به زبان امنیتی”forkbomb” ایجاد می کند.
Source: Wikipedia
استفاده از اسکریپت های مخرب
اولین مرحله از حمله بدافزار شامل استقرار اسکریپت های مخرب در محتوای وب سایت است. در صورت حمله، این کدها را در فایل functions.php در تم وب سایت خود پیدا خواهید کرد.
این کد اساساً بررسی می کند که آیا اسکریپت های مستقر شده بر روی وب سایت در دسترس هستند و در صورت موجود بودن آنها را اجرا می کند. در کد بالا می بینید که فایل class.theme-modules.php فراخوانی می شود. اما بسته به منبع آلودگی، اسکریپت مخرب در فایل class.theme-modules.php یا class.plugin-modules.php قرار می گیرد.
Backdoor ایجاد می شود
این کد برای ایجاد یک Backdoor در وب سایت با هدف ایجاد کاربر admin مخفی با نام 100010010 استفاده می شود. هدف این حساب مدیر ایجاد راهی قابل بازگشت برای هکرهاست حتی اگر بدافزار را پاک کنید!
چگونه بدافزار wp-vcd را از وب سایت خود حذف کنیم؟
برای پاک کردن وب سایت خود از آلودگی به بدافزار wp-vcd دو روش وجود دارد: (1) با استفاده از پلاگین پاک کننده بدافزار و یا پلاگین امنیتی (2) به صورت دستی.
در ادامه در مورد هر دو روش پاک کردن وب سایت شما از این بدافزار بحث خواهیم کرد اما معمولاً حذف دستی توصیه نمی شود. زیرا اول از همه اینکه این روش بسیار مشکل است و دوم اینکه اگر حتی یک سیمیکالن (؛) را از دست دهید، باعث خراب شدن کل وب سایت شما خواهد شد.
1.حذف بدافزار به صورت دستی:
-
-
- اولین مرحله قبل از حذف هرگونه بدافزار، تهیه نسخه پشتیبان از تمام فایل های وب سایت می باشد.
- فایل WP-VCD.php را از هسته وردپرس خود حذف کنید. که شامل فایل functions.php می باشد که حاوی کدهای بدافزار است.
- فراموش نکنید که فایل های class.theme-modules.php و class.plugin-modules.php را حذف کنید، در غیر این صورت بدافزار بارها و بارها تولید می شود.
- فایل wp-includes/wp-vcd.phpرا از پوشه نصب وردپرس حذف کنید.
- به دنبال فایل های زیر در پوشه نصب وردپرس باشید:
-
wp-includes/wp-vcd.php; wp-includes/class.wp.php; wp-includes/wp-cd.php; wp-includes/wp-feed.php; wp-includes/wp-tmp.php;
و در صورت وجود آن ها را حذف نمایید.
-
-
- فایل هایی که مشابه الگو و مدل فایل های ذکر شده هستند را بیابید.
- برای اطمینان از معتبر بودن و تمیز بودن کدها diff checker انجام دهید.( diff checker بررسی تفاوت میان سورس کد اصلی با سورس کد دستکاری شده توسط بدافزار می باشد).
- به وسیله نرم افزار یا پلاگین وب سایت را اسکن کنید.
-
2.استفاده از پلاگین امنیتی:
بهترین گام امنیتی که می توانید برای وب سایت وردپرس خود بردارید نصب پلاگین امنیتی است. Astra Security Suiteیکی از قابل اعتمادترین و معتبرترین افزونه های موجود در بازار امروز است. نصب Astra کمتر از 5 دقیقه طول می کشد. پلاگین های مشابه زیادی وجود دارد که در صورت تایید می توانید آن ها را نیز نصب نمایید و به راحتی از شر این بدافزار خلاص شوید.
چگونه از وب سایت خود در برابر بدافزار wp-vcd محافظت کنیم؟
هنگامی که بدافزار را از وب سایت خود حذف کردید، آخرین و مهمترین مرحله این است که مطمئن شوید وب سایت شما دوباره آلوده نمی شود. برای جلوگیری از نفوذ دوباره بدافزار به وب سایت خود، این مراحل را دنبال کنید:
- پنجره های pop-up را غیرفعال کنید.
- همیشه وردپرس و پلاگین ها و سایر نرم افزارهای وب سایت خود را بروز نگه دارید.
- تم ها و پلاگین های غیرفعال را حذف نمایید.
- از نصب نرم افزارها، پلاگین ها و تم های غیر معتبر و رایگان و یا شخص ثالث خودداری نمایید.
- از دیوار آتش(firewall) استفاده کنید.
- به طور مرتب از وب سایت خود پشتیبان تهیه کنید.
منبع: gbhackers.com