Вредоносные файлы WordPress: DebugMaster.php и wp-user.php

Недавние расследования взломанных сайтов на платформе WordPress выявили два вредоносных файла, специально разработанных для манипулирования учетными записями администраторов и обеспечения постоянного доступа злоумышленников. Замаскированные под легитимные компоненты, эти скрипты способны восстанавливать доступ даже после частичной очистки сайта, что делает угрозу особенно опасной для владельцев и администраторов.

Что обнаружено

Исследование показало наличие двух ключевых компонентов вредоносного ПО:

• plugins/DebugMaster.php — замаскирован под плагин DebugMaster Pro. Внешне похожий на законный компонент, файл содержит сильно запутанный и вредоносный код, который:
  • создаёт учетную запись администратора с жестко закодированными учетными данными;
  • скрывает себя из списков плагинов;
  • отправляет украденную информацию на сервер удалённого управления (C2).
• wp-user.php — вторичный скрипт, предназначенный для усиления закрепления злоумышленника. Его поведение включает:
  • мониторинг существующих пользователей WordPress;
  • при обнаружении пользователя с именем «справка» удаление и воссоздание этой учётной записи с паролем злоумышленника;
  • если учётная запись не найдена — создание новой учётной записи администратора;
  • внедрение внешних скриптов, воздействующих на посетителей сайта, за исключением администраторов или IP-адресов, внесённых в белый список вредоносом.

Последствия для сайта и пользователей

Комбинация этих файлов создаёт многоуровневую систему бэкдоров и закрепления, из‑за чего последствия включают:

• постоянный доступ злоумышленников даже после частичной очистки;
• возможность удалённого выполнения команд и передачи данных на C2;
• инъекции внешних скриптов, отслеживание поведения посетителей и возможность дальнейших компрометаций для конечных пользователей;
• значительное усложнение восстановления нормальной работы сайта и повышение риска повторных взломов.

«Эти данные подчеркивают изощренные методы, используемые злоумышленниками для обеспечения надежного доступа через многоуровневые бэкдоры, что подчеркивает необходимость тщательного соблюдения правил безопасности в среде WordPress.»

Рекомендации по очистке и защите

Владельцам и администраторам сайтов рекомендуется немедленно предпринять следующие шаги:

• удалить DebugMaster.php из каталога plugins и файл wp-user.php;
• провести аудит всех учётных записей пользователей и удалить несанкционированные; особое внимание уделить учётным записям с правами администратора;
• сбросить все пароли администраторам и другим привилегированным аккаунтам;
• обновить ядро WordPress, плагины и темы до последних версий;
• проверить журналы сервера и мониторить исходящий трафик на предмет соединений с неизвестными доменами (C2);
• проверить наличие других веб‑шеллов, подозрительных cron‑задач и файловых изменений с помощью инструментов file integrity monitoring;
• восстановить сайт из чистой резервной копии, если есть сомнения в полноте очистки;
• при необходимости сменить ключи API, учетные данные FTP/SSH и другие секреты, которые могли быть скомпрометированы;
• внедрить постоянный мониторинг безопасности и регулярные аудиты (сканирование на наличие malware, review файловой структуры и прав доступа).

Вывод

Обнаруженные DebugMaster.php и wp-user.php демонстрируют, насколько изощрёнными могут быть современные угрозы для WordPress: злоумышленники используют маскировку, скрытие в списках плагинов и механизмы автоматического восстановления учётных записей, чтобы сохранить доступ. Немедленные и комплексные меры по очистке, обновлению и мониторингу необходимы для снижения риска повторной компрометации.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.