Des centaines de sites WordPress infects par une porte drobe rcemment dcouverte Ce nouveau logiciel malveillant pour Linux exploite 30 vulnrabilits dans des plugins WordPress

Les sites WordPress seraient pirats dans les secondes qui suivent l'mission des certificats TLS, Les cybercriminels utilisent abusivement le protocole Certificate Transparency propos par Google



Une nouvelle souche de malware Linux fait le tour des sites Web bass sur WordPress, cherchant exploiter 30 vulnrabilits connues dans plusieurs plugins et thmes WordPress obsoltes. Baptis Linux.BackDoor.WordPressExploit.1, le malware injecte des JavaScript malveillants dans les sites Web cibles. Il est conu pour cibler les versions 32 bits de Linux, mais peut galement fonctionner sur les versions 64 bits.

Une fois de plus, l’importance des mises jour en temps voulu est devenue vidente. Selon les chercheurs de la socit de scurit Dr.Web, le logiciel malveillant, Linux.BackDoor.WordPressExploit.1, bas sur Linux installe une porte drobe qui permet aux sites infects de rediriger les visiteurs vers des sites malveillants. Il est galement capable de dsactiver la journalisation des vnements, de passer en mode veille et de s’teindre. Il s’installe en exploitant des vulnrabilits dj corriges dans des plugins que les propritaires de sites Web utilisent pour ajouter des fonctionnalits telles que le chat en direct ou les rapports mtriques au systme de gestion de contenu principal WordPress.

Si les sites utilisent des versions obsoltes de ces modules complmentaires, dpourvues de correctifs essentiels, les pages Web cibles sont injectes avec des scripts Java malveillants. Par consquent, lorsque les utilisateurs cliquent sur n’importe quelle zone d’une page attaque, ils sont redirigs vers d’autres sites , crivent les chercheurs de Dr.Web.

Des recherches telles que celle-ci indiquent que plus de 1 300 sites contiennent le JavaScript qui alimente la porte drobe. Il est possible que certains de ces sites aient supprim le code malveillant depuis la dernire analyse. Nanmoins, cela donne une indication de la porte du malware.

Les plugins exploits comprennent :

  • WP Live Chat Support Plugin
  • WordPress – Yuzo Related Posts
  • Yellow Pencil Visual Theme Customizer Plugin
  • Easysmtp
  • Plugin WP GDPR Compliance
  • Thme de journal sur le contrle d’accs WordPress (vulnrabilit CVE-2016-10972)
  • Thim Core
  • Google Code Inserter
  • Total Donations Plugin
  • Post Custom Templates Lite
  • WP Quick Booking Manager
  • Facebook Live Chat par Zotabox
  • Blog Designer WordPress Plugin
  • WordPress Ultimate FAQ (vulnrabilits CVE-2019-17232 et CVE-2019-17233)
  • Intgration WP-Matomo (WP-Piwik)
  • WordPress ND Shortcodes pour Visual Composer
  • WP Live Chat
  • Page Coming Soon et mode de maintenance
  • Hybride
  • Plugin WordPress Brizy
  • FV Flowplayer Video Player
  • WooCommerce
  • Page Coming Soon de WordPress
  • Thme WordPress OneTone
  • Plugin WordPress Simple Fields
  • Plugin WordPress Delucks SEO
  • Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
  • Social Metrics Tracker
  • Rcuprateur de flux RSS WPeMatico
  • Plugin Rich Reviews

Si une ou plusieurs vulnrabilits sont exploites avec succs, la page cible est injecte avec un JavaScript malveillant qui est tlcharg partir d’un serveur distant. L’injection est effectue de telle sorte que lorsque la page infecte est charge, ce JavaScript est lanc en premier, quel que soit le contenu original de la page. ce stade, chaque fois que l’utilisateur clique sur la page infecte, il est transfr vers le site Web vers lequel les attaquants veulent qu’il se rende , explique le compte rendu de Dr.Web.

Le JavaScript contient des liens vers divers domaines malveillants, notamment :

  • lobbydesires[.]com
  • letsmakeparty3[.]ga
  • deliverygoodstrategies[.]com
  • gabriellalovecats[.]com
  • css[.]digestcolect[.]com
  • clon[.]collectfasttracks[.]com
  • comte[.]trackstatistics[.]com

Les chercheurs ont trouv deux versions de la porte drobe : Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. Selon eux, le malware pourrait tre utilis depuis trois ans. Linux.BackDoor.WordPressExploit.1 est dvelopp avec des fonctionnalits supplmentaires, notamment le passage en mode veille, l’arrt automatique et la mise en pause de l’enregistrement de ses actions. Le malware est conu pour cibler les versions 32 bits de Linux mais peut galement fonctionner sur les versions 64 bits.

En plus de Linux.BackDoor.WordPressExploit.1, Dr. Web est galement tomb sur une variante du mme backdoor. La diffrence est que Linux.BackDoor.WordPressExploit.2 possde une adresse de serveur C2 diffrente, une adresse de domaine diffrente partir de laquelle le JavaScript malveillant est tlcharg et cible 11 plugins supplmentaires.

Les plugins WordPress sont depuis longtemps un moyen courant d’infecter les sites. Alors que la scurit de l’application principale est assez solide, de nombreux plugins sont truffs de vulnrabilits qui peuvent conduire une infection. Les criminels utilisent les sites infects pour rediriger les visiteurs vers des sites utiliss pour le phishing, la fraude publicitaire et la diffusion de logiciels malveillants. Les personnes qui grent des sites WordPress doivent s’assurer qu’elles utilisent les versions les plus rcentes du logiciel principal et des plugins. Ils doivent mettre jour en priorit les plugins numrs ci-dessus.

10 tapes pour rparer un WordPress infect par un malware

tape 1 : Sauvegardez toute votre base de donnes et vos fichiers

  • Utilisez la fonction d’instantan du site de l’hbergeur pour sauvegarder l’ensemble du site. Comme le site sera volumineux, le tlchargement prendra du temps.
  • Vous pouvez galement essayer le plugin de sauvegarde de WordPress si vous avez pu vous connecter. Si vous n’y arrivez pas, cela signifie que votre base de donnes a t compromise.
  • Voici le plugin MalCare de BlogVault, un moyen abordable et rapide de rparer WordPress infect par un logiciel malveillant. Disponible en version gratuite et payante (version payante 99 $/an).
  • Faites maintenant une sauvegarde supplmentaire de la base de donnes en utilisant le plugin MalCare.
  • Si vous pouvez vous connecter, utilisez Outils > cliquez sur  » Exporter  » et exportez un fichier XML de l’ensemble de votre contenu.
  • De plus, si vous avez plusieurs installations de WordPress sur le serveur, vous devrez sauvegarder chacune d’entre elles.

Remarque : n’oubliez pas de sauvegarder votre fichier .htaccess, puis de le tlcharger. Vous pouvez localiser ce fichier invisible dans le gestionnaire de fichiers de l’hbergeur. Vous avez besoin de ces donnes de sauvegarde pour les recopier sur votre site propre. Parfois, le fichier .htaccess peut aussi tre pirat, alors assurez-vous de l’examiner de plus prs.

tape 2 : Tlcharger et analyser les fichiers de sauvegarde

Une fois la sauvegarde des fichiers effectue, tlchargez-la puis ouvrez le fichier zip et vrifiez les fichiers suivants dans le processus de rparation de WordPress infect par un logiciel malveillant.

  • Fichiers de base de WordPress : Tlchargez WordPress partir de WordPress.org et faites correspondre vos fichiers tlchargs vos fichiers sur WordPress. Vous aurez besoin de ces fichiers plus tard pour examiner le piratage.
  • Fichier wp-config.php : Le fichier le plus important, car il contient votre nom, votre nom d’utilisateur et votre mot de passe pour la base de donnes de votre WordPress, qui sera utilis pour le processus de restauration.
  • Fichier .htaccess : Utilisez un programme FTP (ex-FileZilla) pour visualiser le dossier de sauvegarde ou votre fichier invisible.
  • Dossier wp-content : Dans ce dossier, vous trouverez trois dossiers comprenant les tlchargements, les thmes, les plugins et les images tlcharges. Cela montre que vous avez une excellente sauvegarde de votre site.
  • La base de donnes : Pour les urgences, vous devriez conserver un fichier SQL de l’exportation de votre base de donnes.

tape 3 : Supprimez tous les fichiers du dossier public_html

  • Une fois que vous avez confirm que votre sauvegarde est complte, supprimez tous vos fichiers dans le dossier public_html l’aide du gestionnaire de fichiers de l’hbergeur.
  • Laissez le dossier cgi-bin et les autres dossiers lis au serveur (libres de tout fichier pirat).
  • Utilisez le gestionnaire de fichiers plutt que le FTP pour supprimer les fichiers, car il est beaucoup plus rapide que les autres. Si vous tes capable d’utiliser SSH, cela fonctionnera galement. (n’oubliez pas de supprimer les fichiers invisibles compromis)

Note : Si vous utilisez plusieurs sites web sur le mme compte, n’oubliez pas de suivre les mmes tapes pour chaque site. Une infection croise est possible, alors sauvegardez-les tous, tlchargez-les et nettoyez-les.

tape 4 : Rinstaller WordPress

  • Il est maintenant temps de rinstaller WordPress. S’il a t install l’origine dans le rpertoire public_html, rinstallez WordPress au mme endroit. S’il tait dans le sous-rpertoire, installez-le dans un domaine supplmentaire.
  • Prenez la rfrence de votre sauvegarde et ditez le fichier wp.config.php sur le WordPress nouvellement install. Cela vous aidera connecter l’ancienne base de donnes WordPress nouvellement install.

Remarque : Ne pas retlcharger le fichier wp-config.php prcdent, car le nouveau fichier sera exempt de tout code pirat. De plus, la nouvelle installation aura de nouveaux cryptages de connexion.

tape 5 : Rinitialiser les permaliens et le mot de passe

  • Connectez-vous votre nouveau site > rinitialisez tous les noms d’utilisateur et mots de passe.
  • Si vous trouvez des utilisateurs non reconnus, cela signifie que votre base de donnes a t compromise. Dans ce cas, vous devez contacter un professionnel pour supprimer tout code indsirable laiss dans votre base de donnes.

tape 6 : Rinstallation des plugins

Maintenant vous pouvez rinstaller tous les plugins partir du dveloppeur de connexion premium ou du dpt WordPress. Assurez-vous que vous n’installez pas les plugins prcdents, c’est ainsi que vous rparez WordPress infect par un malware.

tape 7 : Rinstaller les thmes

Ensuite, installez les thmes partir des nouveaux tlchargements. Les utilisateurs peuvent personnaliser les fichiers de thme, prendre des rfrences partir de fichiers de sauvegarde et reproduire les nouvelles modifications dans le fichier actuel.

Remarque : n’utilisez pas le thme prcdent, car il sera difficile de reconnatre les fichiers pirats.

tape 8 : Scanner et tlcharger les images partir de la sauvegarde

Voici l’tape dlicate dans le processus de rparation d’un WordPress infect par un logiciel malveillant, l’utilisateur doit tlcharger des images partir des fichiers de sauvegarde. Mais vous devez faire attention ne pas copier de fichiers pirats vers le nouveau contenu de WordPress. Pour cette raison, suivez les tapes suivantes :

  • Examinez chaque dossier, anne/mois sur eux.
  • Ouvrez chaque dossier et assurez-vous qu’il n’y a que des images l’intrieur et pas de fichiers H ou JavaScript ou quoi que ce soit d’autre que ce que vous avez tlcharg sur votre bibliothque de mdias.
  • Une fois que vous tes confirm sur vos images, vous pouvez les tlcharger sur le serveur en utilisant le FTP.

tape 9 : Analysez votre systme

Recherchez les chevaux de Troie, les virus et les logiciels malveillants sur votre systme. Lorsque vous avez termin toutes les tapes mentionnes ci-dessus, il est maintenant temps de protger votre serveur pour l’avenir. Pour cela, suivez les tapes suivantes du processus de rparation d’un WordPress infect par un logiciel malveillant :

  • Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramtres et excutez une fonction d’audit pendant quelques mois, pour suivre chaque activit sur le site.
  • Excutez le pare-feu et l’anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
  • Une fois que vous avez vrifi que le site est propre, dsactivez le plugin Anti-Malware car vous n’avez pas besoin de deux plugins pare-feu en mme temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.

tape 10 : Installer et activer les plugins de scurit

Lorsque vous avez termin toutes les tapes mentionnes ci-dessus, il est maintenant temps de protger votre serveur pour l’avenir. Pour cela, suivez les tapes suivantes du processus de rparation d’un WordPress infect par un logiciel malveillant :

  • Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramtres et excutez une fonction d’audit pendant quelques mois, pour suivre chaque activit sur le site.
  • Excutez le pare-feu et l’anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
  • Une fois que vous avez vrifi que le site est propre, dsactivez le plugin Anti-Malware car vous n’avez pas besoin de deux plugins pare-feu en mme temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.

Source : Dr Web

Et vous ?

Quel es votre avis sur le sujet ?

Voir aussi :

Des milliers de sites Web utilisent un plug-in WordPress bogu qui permet une prise de contrle complte d’un site, toutes les versions seraient concernes et il n’y a pas de correctif



Une campagne d’attaques massives cible 900*000 sites WordPress en une semaine, la redirection des visiteurs vers des sites malveillants et l’installation de portes drobes PHP ont t dcouvertes

Les sites WordPress seraient pirats dans les secondes qui suivent l’mission des certificats TLS, les cybercriminels utilisent abusivement le protocole Certificate Transparency propos par Google

La part de march de WordPress diminue, perdant 0,4 % de parts de march au profit de Wix et Squarespace, selon le blogueur Joost de Valk



Source link

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée.