Pozor na malware SocGholish

Stránka presmerováva návštevníkov na spam web. Malware sa neustále vracia. Bezpečnostné scany ho nevedia odhaliť.

Uplynulý týždeň mi prišiel email s prosbou o pomoc so zavíreným firemným webom. Jednalo sa o WordPress web, ktorý presmerovával návštevníkov na spamové stránky. V úvodzovkách lepší prípad bol, keď sa na stránku používatelia ani nedostali a prístup im zablokoval rovno ich antivírusový program.

Môj prvý krok smeroval do administrácie stránky, kde som overil, či tento web používa nejaký bezpečnostný plugin. Na moje prekvapenie, bol na tomto webe aktivovaný plugin Wordfence. S týmto pluginom mám výborné skúsenosti a nestretol som sa ešte s infikovaným webom, ktorý má tento plugin aktívny a aktualizovaný.

Spustil som Wordfence scan a po pár minútach som mal zoznam infikovaných súborov. Súbory som manuálne prezrel a vyčistil. Zároveň som našiel na stránke bezpečnostného pluginu Sucuri, že ide o malware typu SocGholish. Tu som sa tiež dozvedel, že infikovaná je aj databáza, konkrétne tabuľka wp_options. Odstránil som pridaný záznam a spustil nový Wordfence scan.

Škodlivý kód sa nachádzal v téme aj v plugine. WordFence tieto infekcie dokázal identifikovať.

Skvelé, ani jeden problém, hovorím si. Stránka má nikam ďalej nepresmerováva, vyzerá to byť hotovo. Skutočnosť však bola iná. Malware na stránke stále bol a ukázalo sa to pri otvorení stránky v inom prehliadači alebo na druhom počítači.

Viac o probléme mi prezradila web konzola, ktorá v časti „Sources“ ukazovala podozrivý názov webu sarcoma.space. Z tejto adresy sa WordPress odkazoval na škodlivý skript min.main.js, ktorý potajomky naďalej robil zlú robotu.

Pohľad do Chrome „Developer tools (F12)“.

Je to zvláštne, že Wordfence scan toto nenašiel, každopádne jeden s JS súborov témy bol infikovaný a mal na svedomí spomenuté volanie škodlivého skriptu. Po premazaní kódu, bola stránka zbavená malwaru a všetko opäť fungovalo ako má.

Škodlivý kód je väčšinou vložený na stránku v zakódovanom stave a buď na začiatok alebo záver súboru. To ho robí na pohľad ľahko rozoznateľným.

Určite sa pýtate, ako sa takýto malware na stránku dostal. Môj prvý odhad bol cez neaktualizovaný plugin. Ukázalo sa však, že problémom bol jeden z administrátorských účtov, ku ktorému získal prístup spam robot. Ten sa pomocou prístupu na účet každý deň na web pripájal, aby web opätovne v prípade potreby infikoval.

Pár odporúčaní na záver:

  • Udržiavajte web plne aktualizovaný (WordPress, pluginy, téma)
  • Používajte bezpečnostný plugin
  • Pozor na administrátorské účty, určite nepoužívajte uhádnuteľné heslá – a pozor aj na účty agentúr / freelance developerov
  • Developer tools vo Vašom prehliadači (Chrome, FF, Edge, Safari) Vám vie pomôcť zistiť s akým kódom Váš web pracuje
  • Napíšte mi keď budete mať problém s bezpečnosťou webu 🙂

Pridaj komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *