پژوهشگران امنیت سایبری از شناسایی یک در پشتی مخفیانه در سایتهای وردپرس خبر دادهاند که از طریق پوشه «mu-plugins» فعال میشود و به مهاجمان امکان دسترسی دائمی به سایت میدهد.
افزونههای ضروری یا همان mu-plugins، نوع خاصی از افزونهها در وردپرس هستند که بهصورت خودکار فعال شده و در فهرست مدیریت افزونهها نیز نمایش داده نمیشوند. تنها راه غیرفعالسازی آنها حذف مستقیم فایل از مسیر wp-content/mu-plugins است؛ ویژگیای که آنها را به ابزاری جذاب برای مهاجمان تبدیل میکند.
طبق اعلام شرکت امنیتی Sucuri، در نمونه شناساییشده، فایلی با نام wp-index.php در پوشه مذکور بهعنوان loader عمل کرده و یک محتوای مخرب را از راه دور دریافت میکند. این محتوای رمزگذاریشده (با الگوریتم سادهی ROT13) پس از دریافت، بهطور موقت در دیسک ذخیره و اجرا میشود.
این بدافزار پس از اجرا اقدامات مخربی نظیر ایجاد یک فایل مدیریت مخفی (pricing-table-3.php) در پوشه قالب، بارگذاری و فعالسازی یک افزونهی مخرب (wp-bot-protect.php) و همچنین ساخت حساب کاربری مدیریتی با نام officialwp را انجام میدهد. در ادامه، رمز عبور حسابهای مدیر نظیر admin، root و wpsupport به رمز مشخصی که مهاجم تعیین کرده تغییر مییابد.
در نتیجه این حمله، مهاجم به کنترل کامل سایت دست پیدا میکند. سرقت دادهها، تزریق کدهای مخرب یا هدایت کاربران به سایتهای جعلی، از جمله فعالیتهایی است که مهاجم میتواند پس از دسترسی به سایت آنها را عملیاتی کند.
به گفته یک پژوهشگر امنیتی، این در پشتی به مهاجم اجازه میدهد از راه دور کد PHP اجرا کرده و عملکرد بدافزار را در هر لحظه تغییر دهد.
کارشناسان به مدیران وبسایتها توصیه میکنند برای مقابله با چنین تهدیداتی بهطور منظم وردپرس، افزونهها و قالبها را بهروزرسانی کنند، از احراز هویت دومرحلهای بهره ببرند و همه فایلهای مرتبط با قالب و افزونهها را بهدقت بررسی نمایند.
توضیحات بیشتر:
Hackers Deploy Stealth Backdoor in WordPress Mu-Plugins to Maintain Admin Access