رفتن به مطلب

فوری مشکل امنیتی بسته های نصب آسان با افزونه Duplicator وردپرس + راه حل


پست های پیشنهاد شده

  • مدیر انجمن

درود.

اخیرا گزارش های زیادی در تلگرام و پیام خصوصی دریافت کردم که سایت وردپرسی آنها که به تازگی راه اندازی شده حاوی کدهای مخرب است. 

اکثر بسته های نصب آسان وردپرس که با افزونه Duplicator ساخته شده اند و حاوی فایل installer.php هستند دارای باگ امنیتی بسیار جدی هستند که در خوش بینانه ترین حالت، باعث ریدایرکت کردن بازدیدکننده های شما به سایت های دیگر و وارد کردن Malware به سایت شما و در بدترین حالت باعث هک و نفوذ کامل به سایت شما خواهد شد.

 

اکیدا پیشنهاد می کنم از بسته های نصب آسان استفاده نکنید. تفاوت استفاده از بسته نصب آسان با راه اندازی عادی سایت وردپرسی در این است که در بسته ی نصب آسان، وردپرس به همراه قالب و افزونه و دیتابیس را در یک زمان نصب می کنید اما در نصب عادی، وردپرس و قالب و افزونه ها را به صورت جداگانه. کمی زمانبر است اما ارزشش را دارد. با این روش از نصب وردپرسی که به صورت اورجینال از Wordpress.org دانلود نکرده اید جلوگیری می کنید و این وردپرس ممکن است دارای فایل های اضافه ی غیررسمی باشد. بنابراین شما در حالت نصب عادی، ابتدا وردپرس را نصب کنید و سپس افزونه و قالب رو آپلود کنید. در صورتی که نیاز به Import کردن اطلاعات دمو بود، از افزونه های "درون ریز" استفاده کنید.

یکی از مهم ترین و جدی ترین مشکل امنیتی این افزونه، فایل installer.php است که باعث ایجاد فایل هایی با نام زیر می شود:

  • temp-crawl.php
  • wp-crawl.php
  • tempcrawl

 

این فایل ها حاوی کدهای مخرب و Backdoor هستند که همانطور که قبلا اشاره کردم، یا باعث وارد کردن کدهای ریدایرکت و تبلیغاتی مخفی به سایتتان خواهند شد یا در بدترین حالت باعث هک شدن کامل سایتتان می شوند.

 

راه های پیشنهادی:

1. برای حل مشکل، ابتدا افزونه ی Duplicator را کاملا حذف کنید. اگر نیاز است از بسته ی نصب آسان استفاده کنید، بعد از اتمام نصب این افزونه و فایل installer را کاملا حذف کنید.

2. اگر از بسته ی نصب آسان استفاده کرده اید، یکبار در بخش پیشخوان > بروز رسانی ها، کلید راه اندازی مجدد را کلیک کنید تا فایل های هسته وردپرس تازه سازی شوند.

3. فایل های ایجاد شده با نام های زیر در فایل منیجر خود را پیدا و حذف کنید:

The ZIP archive (unique)
database.sql
installer-backup.php
installer-data.sql
installer-log.txt
installer.php

4. سورس صفحه اصلی و یک برگه و یک ادامه مطلب سایتتان را بررسی کنید. اگر حاوی کدهای مشکوک باشد، به دنبال آن کد در قالب باشید و حذف کنید. طبق چند سایتی که بررسی کردم، فایل های header.php توسط باگ افزونه Duplicator آلوده می شوند. یکی فایل header.php و functions.php واقع در پوشه ی قالب و فایل های زیر :

wp-includes\theme-compat\header.php
wp-includes\theme-compat\header-embed.php

5. بخش کاربران سایت خود را بررسی کنید که کاربری به غیر از شما دسترسی "مدیریت" را نداشته باشد.

6. در نهایت بعد از انجام اقدامات بالا، حتما افزونه ی Wordfence را روی وردپرس خود نصب کنید و در تنظیمات بخش Scan این افزونه، حالت اسکن فایل ها را روی High Sensitivity تنظیم کنید و یکبار سایت خود را اسکن کنید. اجازه دهید سایتتان کاملا اسکن شود. اگر سایتتان همچنان آلوده به کدهای مخرب و Malware باشد در قسمت گزارش اسکن مشخص خواهد شد.

 

در صورتی که همچنان با انجام این اقدامات موفق به حل مشکل نشدید، در این تاپیک مطرح کنید.

  • Like 4
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • مدیر انجمن

در پی مطلب اصلی این تاپیک، چند نکته هم اضافه می کنم تا بیشتر با علایم و نشانه های آلوده شدن توسط این افزونه آشنا بشید و اگر چنین مواردی رو مشاهده کردید مطمئن باشید که سایت شما حاوی Malware هست:

1. وجود یک فایل جاوا اسکریپت خارجی با کد زیر در سورس سایت (صفحه اصلی / ادامه مطلب یا برگه ها)

<script src='https://cdn.examhome[.]net/cdn.js?ver=1.0.5' type='text/javascript'></script>

در واقع منظور فایل جاوا اسکریپت مربوط به سایت examhome.net هست. اگر چنین دامینی در سورس سایتتان یافت کردید، سایت شما آلوده شده است.

 

2. وجود کدهای جاوا اسکریپت ناخوانا :

eval(String.fromCharCode(118, 97, 114, 32, 115, 111, 109, 101,...skipped... 105, 108, 100, 40, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 41, 59, 32, 125))

اگر چنین کدی مشاهده کردید، مجددا باید مطمئن بشید که سایتتون آلوده شده. 

منشاء این دو کدمخرب از همون افزونه ی Duplicator هست که توی باگ ها و دستورات موجود در فایل installer.php وارد سایت میشن. 

این کدها باعث ریدایرکت شدن کاربران به سایت های خارجی دیگر می شوند و بخش وسیعی از بازدیدکننده های سایت شما را سرقت می کنند. افرادی که روی مرورگرشان افزونه های AdBlocker دارند متوجه این مساله نخواهند شد. چون ریدایرکت از طریق جاوا اسکریپت است و افزونه های مرورگر AdBlock این ریدایرکت ها را مسدود می کنند. علاوه بر آن، وب سایت examhome.net به عنوان یک لینک Malware و حاوی ویروس در اکثر دیتابیس های آنتی ویروس جهان ثبت شده است.

 

3. مورد سوم از انواع خرابکاری هایی که ممکن است توسط این موضوع دچارش بشید، تغییر کردن اطلاعات دیتابیس سایتتون هست! گاهی اوقات ممکن است در طول یک ساعت، چندین بار فایل wp-config.php سایتتون توسط کد مخرب ویرایش بشه و در سایتتون خطای "ناتوانی در برقراری ارتباط با دیتابیس" رو مشاهده کنید.

 


 

اینها موارد زیاد دیده شده از آلوده شدن سایت وردپرسی توسط باگ Duplicator هست.

و در نهایت اضافه کنم که یکی از مسیرهایی که توسط این باگ ممکن است آسیب ببیند، پوشه ی wp-content/uploads است. فایل هایی با نام های تصادفی (مثلا hfasajh) و بدون پسوند مشخص ساخته می شوند که محتوای این فایل ها، کد جاوا اسکریپتی هست که در ابتدای همین پاسخ دادم.

در صورت مشاهده ی چنین فایل هایی، فایل را کاملا از طریق فایل منیجر حذف کنید. سطل زباله (Trash) فایل منیجر رو هم بررسی کنید تا فایل های حذف شده همچنان در هاستتون باقی نمانده باشند.

موفق باشید.^_^

  • Like 4
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • 1 month پیش ...

سلام

من تقریبا یه هکچین تیکه کدی داخل source page م دارم،  چطوری میتونم حذفش کنم ؟

eval(String.fromCharCode(118, 97, 114, 32, 115, 111, 109, 101,...skipped... 105, 108, 100, 40, 115, 111, 109, 101, 115, 116, 114, 105, 110, 103, 41, 59, 32, 125))

 

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • مدیر انجمن
در 1 ساعت قبل، hosseinrgh گفته است :

من تقریبا یه هکچین تیکه کدی داخل source page م دارم،  چطوری میتونم حذفش کنم ؟

درود.

طبق تاپیک اول، فایل های آلوده و مربوط به Duplicator رو کاملا پاکسازی کنید.

بعد یک سورس از سایتتون بگیرید و بررسی کنید که فایل جاوا اسکریپت خارجی که دامین مشکوکی داشته باشه دارید یا خیر. اون دامین رو داخل phpmyadmin در بین کل جداول دیتابیس بگردید.

فایل های header و functions.php قالب رو بررسی کنید.

داخل فایل منیجر از امکان جستجو استفاده کنید و تمامی فایل های .htaccess رو جستجو کنید و تک تک محتویاتشون رو بررسی کنید. اکثرا باید محتویاتشون deny from all باشه. اگه غیر از این بود همینجا کدها رو قرار بدید بررسی کنیم.

فایل wp-config.php وردپرس هم بررسی کنید کدهای غیر رسمی داخلش نباشه.

  • Like 1
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

ممنون خیلی مفید بود 

این مشکل توی سایتی دارم که وردپرس نیست !!! دقیقا همین کد جاوا گذاشته شده

 

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • مدیر انجمن
در 6 ساعت قبل، AmiRoo گفته است :

ممنون خیلی مفید بود 

این مشکل توی سایتی دارم که وردپرس نیست !!! دقیقا همین کد جاوا گذاشته شده

 

درود.

اون سایت احتمالا مشکل باگ XSS داره. بهتره با طراحش صحبت کنید تا مشکلش رو حل کنه. اگه اسکریپت مدیریت محتوای رایگان داره باید مطمئن بشید توسعه دهنده هاش به اندازه کافی قدرتمند هستند که بتونن مشکلات امنیتی اسکریپت رو هم پوشش بدن.

اگه اسکریپت مطمئن هست، باید ماژول ها و قالب ها رو بررسی کنید.

  • Like 2
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

در در 5 آبان 1397 در 02:04، Masih گفته است :

درود.

اون سایت احتمالا مشکل باگ XSS داره. بهتره با طراحش صحبت کنید تا مشکلش رو حل کنه. اگه اسکریپت مدیریت محتوای رایگان داره باید مطمئن بشید توسعه دهنده هاش به اندازه کافی قدرتمند هستند که بتونن مشکلات امنیتی اسکریپت رو هم پوشش بدن.

اگه اسکریپت مطمئن هست، باید ماژول ها و قالب ها رو بررسی کنید.

ekkattor اسکریپت میدریت مدرسه

لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

  • مدیر انجمن
در 27 دقیقه قبل، AmiRoo گفته است :

ekkattor اسکریپت میدریت مدرسه

معمولا نسخه های نال شده رو نمیشه گفت کاملا سالم و پاک هستند. هر چند اکثر اوقات اسکریپت های اورجینال هم حاوی باگ هستند که به مرور زمان رفع میشن.

سعی کنید آخرین نسخه رو استفاده کنید و اگر توان مالی رو دارید، اورجینالش رو بخرید و استفاده کنید.

اگر قصد استفاده از نسخه نال شده رو دارید، با یک متخصص امنیت صحبت کنید و بخواهید که سایتتون رو از نظر امنیت آنالیز و اسکن کنند تا باگ هاش رو برطرف کنند.

  • Like 2
لینک به دیدگاه
به اشتراک گذاری در سایت های دیگر

مهمان
این موضوع برای عدم ارسال قفل گردیده است.
×
×
  • اضافه کردن...