Anatomy of a Theme Malware je velmi zajímavé čtení – detailní analýza toho, jak malware z Top-Themes.com umí umístit do WordPress instalace backdoor a do vámi používaných šablon vsouvat odkazy podle vlastní chuti.
Neříkejte si, že něco takového vás vůbec nemůže potkat – při hledání použitelných šablon pro WordPress jsem si tuhle věc zjevně někde pořídil též – a nikoliv z Top-Themes.com, protože odtamtud jsem nestahoval nic. Zdarma dostupné šablony se nicméně šíří do všech stran a jsou nabízeny leckde. Výsledek je ten, že jsem skutečně v systému našel toto:
1 920 config.php
2 865 pwhash.php
13 683 shell.php
791 style.css
8 279 wshell.php
Právě podle wshell.php se to dá najít snadno – nebo podle wp-additional složky, ve které se to bude nacházet. A pokud aktuálně stáhnete cokoliv z Top-Themes.com, tak skutečně ve functions.php najdete kód pro instalaci onoho malware do vašeho systému – samotné soubory se skrývají jako “přídavek” k screenshot.png – docela zajímavé řešení. A opravdu tam jsou.
Odkud jsem si to vlastně pořídil?
Dal jsem si tu práci a prohledal všechny původní ZIP soubory se šablonami (nainstalované šablony prohledávat nemůžete, malware se původní šablony odstraní). A našel šablonu jménem COMET – pochází z http://frostpress.com/themes/comet/ a nakonec ale skončíte na WordPress.org. A tam rozhodně Comet není nakažená – ale nejspíš jsem si ji stáhl někde jinde. Takže bych se asi opravdu měl začít řídit výhradně následujícím …
Jak si něco takového nepořídit?
Dobrá a důležitá otázka, s nepříliš jednoduchou odpovědí. V zásadě – nestahovat šablony odjinud než z klasického WordPress repository. A pokud chcete jiné šablony, tak je kupovat od zdrojů, které jsou důvěryhodné, známé a nějaký ten pátek už existují. Byť se odvážím říct, že ani tam si nelze být 100% jist.
Jak se něčeho takového zbavit
Tady je odpověď jednoduchá – smazat to, tedy pokud nedošlo k použití pro něco horšího – budete asi muset projít logy a zjistit, zda “to” bylo aktivováno. Podívat se v šablonách co používáte, jestli tam nebylo něco přidáno. Doporučovaný plugin Theme-Check je docela užitečný – vypíše (mimo jiné) přehled všech odkazů, které jsou do používané šablony vloženy, včetně řady dalších věcí.
WordPress Theme Malware Prevention and Protection doporučuje ještě řadu dalších plug-in, které mohou přispět k zabezpečení WordPressu i nalezení nechtěných věcí:
- BulletProof Security WordPress Plugin
- ServerBuddy WordPress Plugin
- AntiVirus WordPress Plugin
- Exploit Scanner WordPress Plugin
- Health Check WordPress Plugin
- Secure WordPress Plugin
- TAC (Theme Authenticity Checker) WordPress Plugin
- Ultimate Security Check WordPress Plugin
- WordPress File Monitor WordPress Plugin
- WP Security Scan WordPress Plugin
- WP-ServerInfo WordPress Plugin
Pokud toto (nebo jiné) malware už nějakým způsobem zneužilo váš WordPress, tak je dost pravděpodobné, že budete muset vyčistit svou šablonu (šablony) od smetí, které tam zanechalo – pokud jste ji nikdy neupravovali, bude to jednoduché – prostě ji smažete a znovu nahrajete novou. Pokud máte vlastní, budete muset najít přidané informace a dostat je odtamtud pryč.
Pokud došlo k ještě něčemu horšímu, tedy například ke kompromitaci systému jako takového? Budete mít ještě víc práce – zcela určit to chce prověřit aspoň základní věcí, které pomohou určit zda k něčemu takovému došlo. V případě tohoto konkrétního malware pravděpodobně nic takového nenastalo – cílem byla možnost volně přidávat spamovací odkazy do vašeho webu. Ne ho zničit ani jinak poškodit – a mělo to vydržet co nejdéle.