Tihi ubica sajtova: Kako hakeri uništavaju WordPress sajtove!
Nova sajber pretnja tiho prodire u WordPress sajtove, ugrožavajući milione korisnika bez njihovog znanja. Istraživači iz kompanije Sucuri otkrili su pametan backdoor sakriven duboko u WordPress sistemu, koji hakerima omogućava neprimetan i trajni pristup kompromitovanim sajtovima. Ova nevidljiva pretnja iskorišćava slabo poznatu funkciju pod nazivom „must-use plugins“ ili mu-plugins, dodatke koji se automatski aktiviraju i ne mogu se isključiti iz standardnog administratorskog panela.
Za razliku od običnih dodataka, mu-plugins se nalaze u skrivenom folderu i ne pojavljuju se na listi uobičajenih pluginova. To ih čini savršenim skrovištem za zlonamerne aktere koji žele da ostanu neprimećeni dok preuzimaju punu kontrolu nad vašim sajtom. Napadači koriste ovu funkciju da instaliraju malver koji preživljava čak i najtemeljnije pokušaje čišćenja.
Prikriveni loader i tajni malver
Srce ovog napada je PHP fajl pod nazivom wp-index.php, smešten u mu-plugins direktorijumu. Taj fajl funkcioniše kao prikriveni loader koji tiho preuzima sledeću fazu malvera i ubacuje je direktno u WordPress bazu podataka, tačnije u tabelu wp_options pod ključem _hdra_core. Ova infekcija baze podataka je posebno opasna jer je teže uočljiva od malvera koji se nalazi u fajlovima.
Još jedan sloj prikrivenosti dodaje činjenica da adresa sa koje se malver preuzima nije zapisana otvoreno. Umesto toga, sakrivena je pomoću ROT13, jednostavnog koda za pomeranje slova, koji zbunjuje automatske skenere, ali ga stručnjaci brzo mogu dešifrovati. Ovaj lukavi trik omogućava hakerima da ostanu skriveni dok neprestano reinfekuju sajt po potrebi.
Šta se dešava kada malver preuzme kontrolu?
Kada se malver potpuno aktivira, napadači dobijaju moćne alate. Skriveni fajl menadžer pod imenom pricing-table-3.php se postavlja u direktorijum teme, omogućavajući hakerima da pregledaju, otpremaju ili brišu bilo koji fajl na serveru. Osim toga, kreira se novi administratorski nalog „officialwp“, koji hakerima daje neograničenu kontrolu nad WordPress sajtom.
Malver takođe preuzima i automatski aktivira dodatni zlonamerni plugin (wp-bot-protect.php), čime osigurava da pristup napadača ostane neprekinut čak i ako pokušate da uklonite infekciju. Ovo čini backdoor skoro nemogućim za uklanjanje bez dubinskog, ručnog čišćenja.
Zašto je ovaj backdoor noćna mora?
Ovo nije običan malver, dizajniran je da preživi sve što mu zatrebate. Čak i ako izbrišete zlonamerni plugin, loader u mu-plugins folderu će ga automatski ponovo instalirati. Promene lozinki za glavne administratorske naloge poput „admin“ ili „root“ brzo se poništavaju uz pomoć napadačeve glavne lozinke. Uklanjanje lažnog admin naloga je besmisleno jer se on vraća kao duh.
Za svakoga ko upravlja WordPress sajtom, ovo znači potpuni gubitak kontrole. Hakeri mogu krasti osetljive podatke, ubacivati dodatni malver, preusmeravati posetioce na opasne sajtove ili obrisati sav sadržaj u nekoliko klikova. Pretnja je i tihi i smrtonosni neprijatelj.
Kako se zaštititi - Budite uvek korak ispred
Stručnjaci iz Sucuri preporučuju ključne korake za zaštitu sajta. Redovno ažurirajte WordPress, teme i pluginove kako biste zatvorili poznate sigurnosne rupe. Uvedite dvostepenu autentifikaciju (2FA) za sve administratorske naloge kao dodatni sloj zaštite. Redovno proveravajte mu-plugins direktorijum, foldere sa temama, pluginovima i bazu podataka wp_options na sumnjive unose.
Na kraju, pažljivo pratite sve korisničke naloge zbog neočekivanih promena privilegija ili novih korisnika koje niste kreirali. Sajber bezbednost je stalna borba i budnost je vaša najbolja odbrana protiv ovih nevidljivih upadača.
Zabranjeno preuzimanje dela ili čitavog teksta i/ili foto/videa, bez navođenja i linkovanja izvora i autora, a u skladu sa odredbama WMG uslova korišćenja i Zakonom o javnom informisanju i medijima.
