
Kolejny zgłoszony przypadek zawirusowanej strony, ponownie dotyczy systemu zarządzania treścią Wordpress. Tym razem objawy były jednoznaczne - wchodząc na stronę główną lub jakąkolwiek podstronę, po 1-2 sekundach od momentu rozpoczęcia ładowania poszczególnych elementów, użytkownik za każdym razem przekierowany był na jeden z kilku adresów z obcej domeny, pod którymi znajdował się skrypt infekujący. To samo dotyczyło podstrony /wp-admin, co uniemożliwiało logowanie do CMS.
Podczas wstępnego rozpoznania okazało się, że zarówno rdzeń systemu, używany motyw, jak i większość wtyczek (około 30), wymaga aktualizacji, które nie były przeprowadzane od kilku miesięcy. Strona www korzystała z WooCommerce, a wykorzystywany motyw to istny kombajn, wykorzystujący ogromną ilość wtyczek.
W pierwszym kroku, standardowo został wykonany, pełny backup strony. Kopia witryny została uruchomiona w specjalnie przygotowanym labie, gdzie wszystkie pliki rdzenia oraz motywu i plugin'ów, zostały najpierw ręcznie wymienione, a następnie zaktualizowane do najnowszych wydań.
Ponieważ powyższe działania nie przyniosły efektu, na drugi ogień poszła diagnostyka bazy danych. Po przeprowadzeniu dogłębnej analizy, okazało się, że w bazie zostały zamieszczone ciężkie do wykrycia, zakodowane wpisy, które były odpowiedzialne za przekierowania na niebezpieczne strony.
Złośliwy kod, zagnieżdżony w wielu miejscach bazy, został ręcznie usunięty. Strona www została odblokowana i można było się już zalogować do panelu administracyjnego.
Hasło dostępowe do bazy danych zostało zmienione na nowe, które wprowadzono również w konfiguracji WP.
Na koniec przeprowadzono pozostałe czynności zabezpieczające witrynę tj. przegląd użytkowników mających dostęp do FTP, bazy oraz samego WP, zmiana wszystkich możliwych haseł, analiza wszystkich pozostałych plików w lokalizacji /wp-content itd.