Comment supprimer les attaques de logiciels malveillants WP-VCD dans WordPress

Le malware WP-VCD, nommé d’après le fichier wp-vcd.php, a fait des ravages dans l’espace WordPress. Depuis sa première détection par nos chercheurs en sécurité il y a plus d’un an, ce malware a évolué et est devenu plus sophistiqué. Voici nos recherches sur l’évolution de ce malware notoire et comment réparer et prévenir l’infection de votre site web par le malware WP-VCD.

Symptômes du malware WP-VCD :

1. Nouveaux utilisateurs de l’administration ajoutés à WordPress : Nous avons vu des pirates s’ajouter comme utilisateur dans WordPress avec des privilèges d’administrateur.

2. Forte consommation de ressources : Le malware WP-VCD est connu pour consommer les ressources de votre serveur. Nous avons également vu des sociétés d’hébergement suspendre des comptes en invoquant une “forte consommation de ressources”.

3. Ralentissement du temps de chargement du site web : Souvent, le temps de chargement des sites web infectés par ce malware est affecté de manière négative. Dans certains cas, nous avons vu des sites web dont le chargement prend généralement de 2 à 3 secondes et plus de 30 secondes !

4. Code Javascript inconnu : Nous avons vu du code javascript inconnu ajouté soit à certains fichiers WP importants comme functions.php, index.php, soit à presque tous les fichiers WP de base. Le second est généralement un cauchemar à réparer, entraînant souvent la redirection du site web vers des domaines malveillants également.

5. Code PHP malveillant dans les dossiers de base : Le code “WP-VCD” est ajouté à différents endroits de WordPress. C’est de là que vient le nom du malware. D’après son nom, on pourrait supposer que le fichier fait partie de WordPress, mais l’analyse du code révèle qu’il s’agit d’un malware.

Voici un exemple d’un malware WP-VCD bien caché dans le répertoire wp-includes, signalé par le scanner de malware d’Astra Security.

Les principales causes de l’infection par le virus WP-VCD:

Une fois infecté, il est essentiel de supprimer l’infection et de s’assurer que votre WordPress est étanche et sécurisé à l’avenir. Dans le même temps, il est tout aussi important de savoir quelle a pu être la source de l’infection au départ. Voici quelques points d’entrée que nous avons identifiés:

• Thèmes piratés et annulés : Les logiciels malveillants WP-VCD sont préinstallés avec les versions piratées d’un thème/plugin payant. Ces thèmes et plugins annulés (piratés) contiennent des scripts malveillants qui se déploient lorsque vous les installez.
  
  Après avoir mis le pied sur votre site web par le biais d’un thème annulé, il continue à infecter tous les autres thèmes de votre site. Dans le cas d’un serveur partagé, ce malware se propage ensuite pour infecter chaque site non protégé hébergé sur ce serveur. C’est pourquoi on voit souvent ce malware infecter tous les sites web d’un même serveur lorsqu’ils ne sont pas conteneurisés.

• Plugins et thèmes non mis à jour : C’est l’une des principales causes de presque toutes les infections de WordPress. Cependant, la mise à jour de tous les thèmes/plugins après l’infection ne signifie pas que l’infection disparaîtra. Le nettoyage de l’infection est toujours nécessaire, ce qui garantit une sécurité proactive.

• Pas de sécurité proactive sur le site web : À vrai dire, les pirates ont fait évoluer leurs techniques au fil des ans. Ils gagnent des milliers de dollars grâce à ces piratages, ce qui signifie qu’ils peuvent dépenser des centaines de dollars pour automatiser ces piratages et infecter des milliers/millions de sites web en même temps.
  
  Pour se protéger contre ces techniques de piratage évoluées de WordPress, un petit investissement dans un outil de sécurité peut faire beaucoup de chemin. Cela vous évite des maux de tête dans des moments comme celui-ci et la prévention des pertes de référencement, de marketing et de ventes dues aux temps d’arrêt est un autre avantage supplémentaire.

Comment fonctionne exactement le logiciel malveillant WP-VCD ?

[un peu de jargon technique (mais super important) à venir]

It is really important to understand what exactly WP-VCD does and how it is able to slow down your web site by consuming all the precious resources of your server.

Lorsqu’un code malveillant est inséré dans votre site web, il se trouve généralement dans des fichiers de base comme functions.php/index.php. Maintenant, ce code malveillant appelle les fichiers de votre site web. Lorsque votre site web est ouvert à partir du navigateur, il tente d’atteindre les fichiers vers lesquels le logiciel malveillant effectue l’appel. Et ces fichiers peuvent ou non exister sur votre site web, ce qui entraîne une nouvelle exécution de functions.php. Il s’agit essentiellement de faire tourner en rond le processus de chargement du site web. Dans le langage de la sécurité, cela s’appelle une “bombe à fourche”.

“In computing, a fork bomb (also called rabbit virus or wabbit) is a denial-of-service attack wherein a process continually replicates itself to deplete available system resources, slowing down or crashing the system due to resource starvation.”

from Wikipedia.

Étape 1 : Déploiement de scripts malveillants

Dans le fichier functions.php de votre thème, vous verrez un code similaire à celui-ci :

<?php if (file_exists(dirname(__FILE__) . '/<b>class.theme-modules.php</b>')) <b>include_once</b>(dirname(__FILE__) . '/<b>class.theme-modules.php</b>'); ?>

Ce code vérifie si des scripts de déploiement sont disponibles et les exécute ensuite. Comme vous pouvez le voir dans le code ci-dessus, le fichier qui a été appelé est le fichier class.theme-modules.php. Maintenant, selon l’origine de l’infection (c’est-à-dire le thème ou le plugin), le script malveillant se trouvera dans le fichier class.theme-modules.php ou class.plugin-modules.php respectivement.

Étape 2 : Création d’une porte dérobée

<?php
 
//install_code1
error_reporting(0);
ini_set('display_errors', 0);
DEFINE('MAX_LEVEL', 2); 
DEFINE('MAX_ITERATION', 50); 
DEFINE('P', $_SERVER['DOCUMENT_ROOT']);

$GLOBALS['<b>WP_CD_CODE</b>'] = 'PD9waHANCmVycm9y...(base64-encoded string of PHP code)
...

Ce code crée un nouvel utilisateur admin avec un nom similaire à 100010010. L’objectif de ce compte d’administrateur détourné est de s’assurer que le pirate peut accéder au site web même si vous supprimez le code malveillant, afin que les attaquants puissent attaquer votre site web ultérieurement.

Étape 3 : Obtenir des instructions des pirates informatiques

Parfois, les pirates informatiques injectent les URL de leurs serveurs C2. Ces URL sont ensuite appelées pour déployer une action sur les sites infectés en une seule fois. Des domaines tels que www.krilns[.]com/code.php, krilns[.]pw, krilns[.]top, etc. ont été trouvés en train d’exécuter cette action dans de nombreux sites infectés par le WP-VCD.

Étape 4 : Infection d’autres fichiers et sites

La prochaine chose que fait le malware WP-VCD est de s’étendre. Il déploie le script malveillant dans chaque thème et plugin de votre site. Ensuite, il continue à trouver des sites vulnérables sur le même serveur et les infecte également.

Cette propagation commence par le déploiement d’un script situé à l’adresse : wp-includes/wp-vcd.php. Elle est suivie par des modifications dans le noyau wp-includes/post.php qui exécutent enfin le code dans wp-vcd.php sur chaque page.

Comment réparer et supprimer le malware WP-VCD WordPress ?

1. Trouver et supprimer un code malveillant : Il existe quelques endroits où la probabilité de trouver le code malveillant est élevée. Cependant, les pirates informatiques essaient souvent d’améliorer leurs moyens de dissimuler les logiciels malveillants de manière plus créative, mais ces fichiers/dossiers sur votre serveur valent la peine de commencer la chasse :

• wp-includes/wp-vcd.php
• wp-includes/wp-tmp.php
• wp-content/themes/*/functions.php (tous les thèmes installés sur le serveur, qu’ils soient actifs ou non)
• class.wp.php
• code1.php
• class.theme-modules.php (à l’intérieur du dossier thématique)

2. Recherche de modèles de chaînes malveillantes : La recherche de modèles de chaînes de caractères trouvés dans les fichiers de logiciels malveillants infectés vous aide à affiner la recherche. Quelques-uns d’entre eux sont mentionnés ci-dessous :

• tmpcontentx
• function wp_temp_setupx
• wp-tmp.php
• derna.top/code.php
• stripos($tmpcontent, $wp_auth_key)

3. Analyser les fonctions.php : Ce fichier est l’un des principaux fichiers infectés par les pirates. L’examen du code dans functions.php peut révéler le code de contrôle du malware wp-vcd.

4. Effectuez une vérification de la différence pour vous assurer de l’authenticité du code : Effectuez une vérification de la différence entre le contenu des fichiers sur votre serveur et les fichiers correspondants dans le dépôt GitHub du noyau de WordPress ou dans le répertoire theme/plugin. Vous pouvez utiliser l’une des deux approches (ou les deux) en utilisant SSH ou votre IDE.

1. Finding & removing malicious code: There are a few places where probability of finding the malicious code is high. Though, hackers often try to improve their ways to hide the malware more creatively still these files/folders on your server are worth starting the hunt from:
   
   
   • wp-includes/wp-vcd.php
   • wp-includes/wp-tmp.php
   • wp-content/themes/*/functions.php (all themes installed on the server whether active or not)
   • class.wp.php
   • code1.php
   • class.theme-modules.php (inside the theme folder)
     
     
2. Searching malicious string patterns: Searching for string patterns that are found in infected malware files helps you in narrowing down the search. A few of them mentioned below:
   
   
   • tmpcontentx
   • function wp_temp_setupx
   • wp-tmp.php
   • derna.top/code.php
   • stripos($tmpcontent, $wp_auth_key)
     
     
3. Analyze functions.php: This file is one of the top infected files by hackers. Reviewing the code in functions.php can reveal the controlling code of wp-vcd malware.
   
   
4. Run a diff check to ensure code authenticity: Run a diff check of the file contents on your server with corresponding files in the WordPress core GitHub repository or theme/plugin directory. You can use either of the approaches (or both) using SSH or using your IDE.
   
   
   (Vérification des différences de fichiers, capture d’écran du scanner de logiciels malveillants d’Astra montrant les logiciels malveillants ajoutés en haut du fichier index.php)

5. Lancez une analyse des logiciels malveillants : Dans de telles situations d’infection par des logiciels malveillants, un scanner de logiciels malveillants peut vous épargner des heures de recherche de logiciels malveillants (ce qui ne garantit toujours pas le succès). Le scanner de logiciels malveillants ne se contente pas d’analyser chaque fichier du serveur, mais il s’assure que chaque différence dans les fichiers principaux de votre WordPress est signalée.

Le malware WP VCD s’installe sur votre site en exploitant les failles des plugins et des thèmes obsolètes. Dans la plupart des cas, les propriétaires de sites web s’infectent eux-mêmes en installant un plugin et des thèmes gratuits ou annulés provenant de sources non autorisées, tandis que dans d’autres cas, cela se produit à la suite d’une contamination par des sites infectés.

Guide connexe – Guide complet sur la sécurité de WordPress

L’une des plus grandes leçons à tirer de ces piratages est de s’assurer que votre site web est sécurisé à l’avenir. Ne pas se retrouver dans une telle situation est totalement possible grâce à Astra Security Suite, qui assure la sécurité de milliers de sites web dans le monde entier, en arrêtant des millions d’attaques et de logiciels malveillants chaque jour!