Ce nouveau logiciel malveillant pour Linux exploite 30 vulnérabilités dans des plugins WordPress
Une nouvelle souche de malware Linux fait le tour des sites Web basés sur WordPress, cherchant à exploiter 30 vulnérabilités connues dans plusieurs plugins et thèmes WordPress obsolètes. Baptisé Linux.BackDoor.WordPressExploit.1, le malware injecte des JavaScript malveillants dans les sites Web cibles. Il est conçu pour cibler les versions 32 bits de Linux, mais peut également fonctionner sur les versions 64 bits.
Une fois de plus, l’importance des mises à jour en temps voulu est devenue évidente. Selon les chercheurs de la société de sécurité Dr.Web, le logiciel malveillant, Linux.BackDoor.WordPressExploit.1, basé sur Linux installe une porte dérobée qui permet aux sites infectés de rediriger les visiteurs vers des sites malveillants. Il est également capable de désactiver la journalisation des événements, de passer en mode veille et de s’éteindre. Il s’installe en exploitant des vulnérabilités déjà corrigées dans des plugins que les propriétaires de sites Web utilisent pour ajouter des fonctionnalités telles que le chat en direct ou les rapports métriques au système de gestion de contenu principal WordPress.
« Si les sites utilisent des versions obsolètes de ces modules complémentaires, dépourvues de correctifs essentiels, les pages Web ciblées sont injectées avec des scripts Java malveillants. Par conséquent, lorsque les utilisateurs cliquent sur n’importe quelle zone d’une page attaquée, ils sont redirigés vers d’autres sites », écrivent les chercheurs de Dr.Web.
Des recherches telles que celle-ci indiquent que plus de 1 300 sites contiennent le JavaScript qui alimente la porte dérobée. Il est possible que certains de ces sites aient supprimé le code malveillant depuis la dernière analyse. Néanmoins, cela donne une indication de la portée du malware.
Les plugins exploités comprennent :
- WP Live Chat Support Plugin
- WordPress – Yuzo Related Posts
- Yellow Pencil Visual Theme Customizer Plugin
- Easysmtp
- Plugin WP GDPR Compliance
- Thème de journal sur le contrôle d’accès WordPress (vulnérabilité CVE-2016-10972)
- Thim Core
- Google Code Inserter
- Total Donations Plugin
- Post Custom Templates Lite
- WP Quick Booking Manager
- Facebook Live Chat par Zotabox
- Blog Designer WordPress Plugin
- WordPress Ultimate FAQ (vulnérabilités CVE-2019-17232 et CVE-2019-17233)
- Intégration WP-Matomo (WP-Piwik)
- WordPress ND Shortcodes pour Visual Composer
- WP Live Chat
- Page Coming Soon et mode de maintenance
- Hybride
- Plugin WordPress Brizy
- FV Flowplayer Video Player
- WooCommerce
- Page Coming Soon de WordPress
- Thème WordPress OneTone
- Plugin WordPress Simple Fields
- Plugin WordPress Delucks SEO
- Poll, Survey, Form & Quiz Maker by OpinionStage (en anglais)
- Social Metrics Tracker
- Récupérateur de flux RSS WPeMatico
- Plugin Rich Reviews
« Si une ou plusieurs vulnérabilités sont exploitées avec succès, la page ciblée est injectée avec un JavaScript malveillant qui est téléchargé à partir d’un serveur distant. L’injection est effectuée de telle sorte que lorsque la page infectée est chargée, ce JavaScript est lancé en premier, quel que soit le contenu original de la page. À ce stade, chaque fois que l’utilisateur clique sur la page infectée, il est transféré vers le site Web vers lequel les attaquants veulent qu’il se rende », explique le compte rendu de Dr.Web.
Le JavaScript contient des liens vers divers domaines malveillants, notamment :
- lobbydesires[.]com
- letsmakeparty3[.]ga
- deliverygoodstrategies[.]com
- gabriellalovecats[.]com
- css[.]digestcolect[.]com
- clon[.]collectfasttracks[.]com
- comte[.]trackstatistics[.]com
Les chercheurs ont trouvé deux versions de la porte dérobée : Linux.BackDoor.WordPressExploit.1 et Linux.BackDoor.WordPressExploit.2. Selon eux, le malware pourrait être utilisé depuis trois ans. Linux.BackDoor.WordPressExploit.1 est développé avec des fonctionnalités supplémentaires, notamment le passage en mode veille, l’arrêt automatique et la mise en pause de l’enregistrement de ses actions. Le malware est conçu pour cibler les versions 32 bits de Linux mais peut également fonctionner sur les versions 64 bits.
En plus de Linux.BackDoor.WordPressExploit.1, Dr. Web est également tombé sur une variante du même backdoor. La différence est que Linux.BackDoor.WordPressExploit.2 possède une adresse de serveur C2 différente, une adresse de domaine différente à partir de laquelle le JavaScript malveillant est téléchargé et cible 11 plugins supplémentaires.
Les plugins WordPress sont depuis longtemps un moyen courant d’infecter les sites. Alors que la sécurité de l’application principale est assez solide, de nombreux plugins sont truffés de vulnérabilités qui peuvent conduire à une infection. Les criminels utilisent les sites infectés pour rediriger les visiteurs vers des sites utilisés pour le phishing, la fraude publicitaire et la diffusion de logiciels malveillants. Les personnes qui gèrent des sites WordPress doivent s’assurer qu’elles utilisent les versions les plus récentes du logiciel principal et des plugins. Ils doivent mettre à jour en priorité les plugins énumérés ci-dessus.
10 étapes pour réparer un WordPress infecté par un malware
Étape 1 : Sauvegardez toute votre base de données et vos fichiers
- Utilisez la fonction d’instantané du site de l’hébergeur pour sauvegarder l’ensemble du site. Comme le site sera volumineux, le téléchargement prendra du temps.
- Vous pouvez également essayer le plugin de sauvegarde de WordPress si vous avez pu vous connecter. Si vous n’y arrivez pas, cela signifie que votre base de données a été compromise.
- Voici le plugin MalCare de BlogVault, un moyen abordable et rapide de réparer WordPress infecté par un logiciel malveillant. Disponible en version gratuite et payante (version payante à 99 $/an).
- Faites maintenant une sauvegarde supplémentaire de la base de données en utilisant le plugin MalCare.
- Si vous pouvez vous connecter, utilisez Outils > cliquez sur ” Exporter ” et exportez un fichier XML de l’ensemble de votre contenu.
- De plus, si vous avez plusieurs installations de WordPress sur le serveur, vous devrez sauvegarder chacune d’entre elles.
Remarque : n’oubliez pas de sauvegarder votre fichier .htaccess, puis de le télécharger. Vous pouvez localiser ce fichier invisible dans le gestionnaire de fichiers de l’hébergeur. Vous avez besoin de ces données de sauvegarde pour les recopier sur votre site propre. Parfois, le fichier .htaccess peut aussi être piraté, alors assurez-vous de l’examiner de plus près.
Étape 2 : Télécharger et analyser les fichiers de sauvegarde
Une fois la sauvegarde des fichiers effectuée, téléchargez-la puis ouvrez le fichier zip et vérifiez les fichiers suivants dans le processus de réparation de WordPress infecté par un logiciel malveillant.
- Fichiers de base de WordPress : Téléchargez WordPress à partir de WordPress.org et faites correspondre vos fichiers téléchargés à vos fichiers sur WordPress. Vous aurez besoin de ces fichiers plus tard pour examiner le piratage.
- Fichier wp-config.php : Le fichier le plus important, car il contient votre nom, votre nom d’utilisateur et votre mot de passe pour la base de données de votre WordPress, qui sera utilisé pour le processus de restauration.
- Fichier .htaccess : Utilisez un programme FTP (ex-FileZilla) pour visualiser le dossier de sauvegarde ou votre fichier invisible.
- Dossier wp-content : Dans ce dossier, vous trouverez trois dossiers comprenant les téléchargements, les thèmes, les plugins et les images téléchargées. Cela montre que vous avez une excellente sauvegarde de votre site.
- La base de données : Pour les urgences, vous devriez conserver un fichier SQL de l’exportation de votre base de données.
Étape 3 : Supprimez tous les fichiers du dossier public_html
- Une fois que vous avez confirmé que votre sauvegarde est complète, supprimez tous vos fichiers dans le dossier public_html à l’aide du gestionnaire de fichiers de l’hébergeur.
- Laissez le dossier cgi-bin et les autres dossiers liés au serveur (libres de tout fichier piraté).
- Utilisez le gestionnaire de fichiers plutôt que le FTP pour supprimer les fichiers, car il est beaucoup plus rapide que les autres. Si vous êtes capable d’utiliser SSH, cela fonctionnera également. (n’oubliez pas de supprimer les fichiers invisibles compromis)
Note : Si vous utilisez plusieurs sites web sur le même compte, n’oubliez pas de suivre les mêmes étapes pour chaque site. Une infection croisée est possible, alors sauvegardez-les tous, téléchargez-les et nettoyez-les.
Étape 4 : Réinstaller WordPress
- Il est maintenant temps de réinstaller WordPress. S’il a été installé à l’origine dans le répertoire public_html, réinstallez WordPress au même endroit. S’il était dans le sous-répertoire, installez-le dans un domaine supplémentaire.
- Prenez la référence de votre sauvegarde et éditez le fichier wp.config.php sur le WordPress nouvellement installé. Cela vous aidera à connecter l’ancienne base de données à WordPress nouvellement installé.
Remarque : Ne pas retélécharger le fichier wp-config.php précédent, car le nouveau fichier sera exempt de tout code piraté. De plus, la nouvelle installation aura de nouveaux cryptages de connexion.
Étape 5 : Réinitialiser les permaliens et le mot de passe
- Connectez-vous à votre nouveau site > réinitialisez tous les noms d’utilisateur et mots de passe.
- Si vous trouvez des utilisateurs non reconnus, cela signifie que votre base de données a été compromise. Dans ce cas, vous devez contacter un professionnel pour supprimer tout code indésirable laissé dans votre base de données.
Étape 6 : Réinstallation des plugins
Maintenant vous pouvez réinstaller tous les plugins à partir du développeur de connexion premium ou du dépôt WordPress. Assurez-vous que vous n’installez pas les plugins précédents, c’est ainsi que vous réparez WordPress infecté par un malware.
Étape 7 : Réinstaller les thèmes
Ensuite, installez les thèmes à partir des nouveaux téléchargements. Les utilisateurs peuvent personnaliser les fichiers de thème, prendre des références à partir de fichiers de sauvegarde et reproduire les nouvelles modifications dans le fichier actuel.
Remarque : n’utilisez pas le thème précédent, car il sera difficile de reconnaître les fichiers piratés.
Étape 8 : Scanner et télécharger les images à partir de la sauvegarde
Voici l’étape délicate dans le processus de réparation d’un WordPress infecté par un logiciel malveillant, l’utilisateur doit télécharger des images à partir des fichiers de sauvegarde. Mais vous devez faire attention à ne pas copier de fichiers piratés vers le nouveau contenu de WordPress. Pour cette raison, suivez les étapes suivantes :
- Examinez chaque dossier, année/mois sur eux.
- Ouvrez chaque dossier et assurez-vous qu’il n’y a que des images à l’intérieur et pas de fichiers H ou JavaScript ou quoi que ce soit d’autre que ce que vous avez téléchargé sur votre bibliothèque de médias.
- Une fois que vous êtes confirmé sur vos images, vous pouvez les télécharger sur le serveur en utilisant le FTP.
Étape 9 : Analysez votre système
Recherchez les chevaux de Troie, les virus et les logiciels malveillants sur votre système. Lorsque vous avez terminé toutes les étapes mentionnées ci-dessus, il est maintenant temps de protéger votre serveur pour l’avenir. Pour cela, suivez les étapes suivantes du processus de réparation d’un WordPress infecté par un logiciel malveillant :
- Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramètres et exécutez une fonction d’audit pendant quelques mois, pour suivre chaque activité sur le site.
- Exécutez le pare-feu et l’anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
- Une fois que vous avez vérifié que le site est propre, désactivez le plugin Anti-Malware car vous n’avez pas besoin de deux plugins pare-feu en même temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.
Étape 10 : Installer et activer les plugins de sécurité
Lorsque vous avez terminé toutes les étapes mentionnées ci-dessus, il est maintenant temps de protéger votre serveur pour l’avenir. Pour cela, suivez les étapes suivantes du processus de réparation d’un WordPress infecté par un logiciel malveillant :
- Installez le plugin Shield WordPress Security de iControlWP et activez-le. Passez en revue tous ses paramètres et exécutez une fonction d’audit pendant quelques mois, pour suivre chaque activité sur le site.
- Exécutez le pare-feu et l’anti-malware Brute-Force et analysez votre site en profondeur. Confirmez que tout est couvert en utilisant le Site check de Sucuri.
- Une fois que vous avez vérifié que le site est propre, désactivez le plugin Anti-Malware car vous n’avez pas besoin de deux plugins pare-feu en même temps. Ce bouclier vous informera en cas de changement dans les fichiers de base.
source : developpez