به دنبال شناسایی فایلهای شل بر روی این سایت در طی اسکن هفتگی سرویس، توسط واحد مانیتورینگ نت افراز مسدود شده است.
/home2/domaincom/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/log.php: NCSD/H.PhpTrojan.Unnamed-36.UNOFFICIAL FOUND
/home2/domaincom/domains/domaincom/public_html/wp-content/uploads/log.php: NCSD/H.PhpTrojan.Unnamed-36.UNOFFICIAL FOUND
File: `/home2/domaincom/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/log.php'
Size: 140206 Blocks: 280 IO Block: 4096 regular file
Device: 821h/2081d Inode: 25326905 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 999/domaincom) Gid: ( 1000/domaincom)
Access: 2016-02-19 07:43:52.792819363 +0330
Modify: 2016-02-19 07:43:52.792819363 +0330
Change: 2016-02-19 07:43:52.792819363 +0330
File: `/home2/domaincom/domains/domaincom/public_html/wp-content/uploads/log.php'
Size: 140206 Blocks: 280 IO Block: 4096 regular file
Device: 821h/2081d Inode: 25165960 Links: 1
Access: (0644/-rw-r--r--) Uid: ( 999/domaincom) Gid: ( 1000/domaincom)
Access: 2016-02-19 07:48:06.350064646 +0330
Modify: 2016-02-19 07:48:06.350064646 +0330
Change: 2016-02-19 07:48:06.350064646 +0330
بررسی لاگهای دسترسی سرویس مشخص کرده است که این فایلها از طریق درخواست های زیر بر روی سرویس آپلود شده اند:
[2016/02/19 07:43:52] 188.114.102.164 domaincom//wp-content/plugins/wordpress-seo-premium/premium/classes/class-nginx-redirect-file.php?pro /home2/domaincom/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/class-nginx-redirect-file.php
[2016/02/19 07:43:59] 188.114.102.164 domaincom//wp-content/plugins/wordpress-seo-premium/premium/classes/log.php /home2/domaincom/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/log.php
[2016/02/19 07:48:06] 162.158.91.140 domaincom/wp-content/plugins/wordpress-seo-premium/premium/classes/log.php /home2/domaincom/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/log.php
بررسی فایل
/domains/domaincom/public_html/wp-content/plugins/wordpress-seo-premium/premium/classes/class-nginx-redirect-file.php
نشان میدهد که یک کد بکدور آپلود شل در ابتدای این فایل اضافه شده است. فایل
wordpress-seo-premium/premium/classes/class-nginx-redirect-file.php
در آرشیو ارایه شده در آدرس
http://www84.zippyshare.com/v/2AnYr9r0/file.html
نیز به همین کد آلوده بوده که این موضوع نشان می دهد پس از نصب این افزونه دستکاری شده بر روی وردپرس امکان نفوذ به سایت ایجاد شده است. ابتدای فایل
wp-seo-main.php
در این آرشیو نیز یک کد دیگر اینجکت شده است که هنگام اجرای کد اسکریپت یک ایمیل به ادرس
[email protected]
ارسال می کند که این آدرس متعلق به هکرها بوده و برای اطلاع رسانی به ایشان جهت مشخص شدن آلوده شدن سایت قربانی به کد بکدور ایشان مورد استفاده قرار می گیرد.
لاگهای دسترسی سرویس شما نیز نشان میدهد که تعداد زیادی ایمیل به این آدرس ارسال شده است.
2016-02-20 08:33:34 1aWzhe-0007Zt-Aq <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:34:49 1aWzir-0008Jd-5Y <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:37:25 1aWzlN-0001o2-US <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:38:06 1aWzm2-0002P4-Oz <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:38:43 1aWzmd-0002XD-IE <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:39:53 1aWznl-0003Fi-Hr <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:44:21 1aWzs5-0006US-Ty <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:44:57 1aWzsf-0006bs-K5 <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]
2016-02-20 08:45:14 1aWzsw-00079q-1B <=
[email protected] U=domaincom P=local S=442 T="site!" from <
[email protected]> for
[email protected]