lista de coisas que voc\u00ea precisa fazer para evitar problemas desse tipo<\/a>.<\/p>\n\n\n\nWP-VCD<\/h2>\n\n\n\n O malware<\/em> estudado pelo Wordfence \u00e9 conhecido como WP-VCD e \u00e9 veiculado por temas e plugin piratas, tamb\u00e9m conhecidos como nulled<\/em>, que s\u00e3o inicialmente distribu\u00eddos por uma rede de sites integrados. Embora o white paper<\/em> contenha uma lista com todos os sites que disponibilizam estes arquivos para baixar, \u00e9 imposs\u00edvel determinar quais outros sites tamb\u00e9m est\u00e3o oferecendo estes mesmos plugins infectados. As primeiras vers\u00f5es do v\u00edrus foram detectadas em fevereiro de 2017, mas ele j\u00e1 mudou muito de l\u00e1 para c\u00e1.<\/p>\n\n\n\nPrincipais objetivos da invas\u00e3o<\/h3>\n\n\n\n O v\u00edrus usa os sites infectados para duas coisas:<\/p>\n\n\n\n
Black Hat SEO para promover os sites que distribuem os plugins e temas piratas e<\/li> Propagandas escondidas, ou Malvertising<\/em>.<\/li><\/ul>\n\n\n\nSites infectados pelo WP-VCD ficam a todo momento consultando servidores externos, chamados de Comando e Controle (C2, do ingl\u00eas Command and Control<\/em>). Dependendo da necessidade dos autores do v\u00edrus, os servidores C2 alternam entre modificar o conte\u00fado do site infectado para melhorar o SEO dos sites que disponibilizam os v\u00edrus (t\u00e9cnica conhecida como Black Hat<\/em>) ou para exibir propagandas pagas (Malvertising = Malware + Advertising<\/em>).<\/p>\n\n\n\nO esquema de SEO deles \u00e9 t\u00e3o forte que quando algu\u00e9m procura por <nome de um tema> theme download<\/code>, os resultados do pr\u00f3prio tema ficam l\u00e1 embaixo em alguns casos:<\/p>\n\n\n\nO resultado “oficial” fica em quarto lugar<\/figcaption><\/figure><\/div>\n\n\n\nAqui est\u00e1 um pouco do processo de implanta\u00e7\u00e3o do v\u00edrus. Talvez n\u00e3o fique suficientemente claro, mas existem v\u00e1rias camadas de redund\u00e2ncia, fazendo com que seja imposs\u00edvel resolver o problema excluindo apenas uma das v\u00e1rias partes de c\u00f3digo que ele espalha pelo WordPress. O material do Wordfence tamb\u00e9m detalha muito bem a infraestrutura por tr\u00e1s do v\u00edrus, al\u00e9m das listas de todos os dom\u00ednios envolvidos (C2 e download dos temas). Recomendo muito a leitura do conte\u00fado original.<\/p>\n\n\n\n
Processo de deploy<\/h3>\n\n\n\n Os arquivos zipados dispon\u00edveis para download<\/em> nos sites, v\u00eam com um arquivo class.plugin-modules.php<\/code> ou class.theme-modules.php<\/code>, dependendo do que \u00e9 baixado. Ao ativar o tema ou o plugin, o PHP faz um include<\/em> desse arquivo e implanta a infec\u00e7\u00e3o de fato. Resumidamente, estes s\u00e3o os passos:<\/p>\n\n\n\nO v\u00edrus infecta os arquivos functions.php<\/code> de TODOS os temas. Sim, todos.<\/li>Sabe a data de altera\u00e7\u00e3o do arquivo? Ele cuida disso tamb\u00e9m, deixando a data de altera\u00e7\u00e3o exatamente como estava antes dele mexer.<\/li> Cria uma “senha” pra ser usada pelos servidores C2<\/abbr>, assim ningu\u00e9m mais consegue explorar a vulnerabilidade.<\/li>Registra o novo site infectado no servidores C2<\/abbr>, enviando essa senha criada.<\/li>Propaga\u00e7\u00e3o lateral: procura por outras instala\u00e7\u00f5es WordPress na mesma hospedagem e as infecta tamb\u00e9m. \u00c9 isso mesmo, ele n\u00e3o infecta s\u00f3 uma instala\u00e7\u00e3o WP.<\/li> Cria um arquivo chamado wp-includes\/wp-vcd.php<\/code> e altera o wp-includes\/post.php<\/code> para cham\u00e1-lo.<\/li>Exclui o c\u00f3digo que instala o malware<\/em>, deixando o class.plugin-modules.php<\/code> ou class.theme-modules.php<\/code> s\u00f3 com uma linha.<\/li><\/ol>\n\n\n\nOs c\u00f3digos implantados s\u00e3o feitos de forma que possam ser atualizados sempre que necess\u00e1rio. Ent\u00e3o, se um servidor C2<\/abbr> for derrubado, os autores do v\u00edrus conseguem atualizar os sites infectados para alterar os endere\u00e7os necess\u00e1rios. Na verdade, todos os c\u00f3digos implantados s\u00e3o modificados em um momento ou outro, tornando tudo muito mais dif\u00edcil de ser detectado.<\/p>\n\n\n\nAinda falando de atualiza\u00e7\u00e3o, os temas e plugins piratas dispon\u00edveis para download s\u00e3o atualizados em massa, assim mesmo aqueles dispon\u00edveis h\u00e1 mais de um ano cont\u00eam a vers\u00e3o mais recente do c\u00f3digo.<\/p>\n\n\n\n
Black Hat SEO<\/h3>\n\n\n\n Se \u00e9 preciso aumentar a visibilidade dos sites que disponibilizam os plugins e temas piratas, os autores do v\u00edrus fazem com que os sites infectados exibam links para estes sites. Solicita\u00e7\u00f5es e respostas entre o site infectado e o servidor C2<\/abbr> alteram o conte\u00fado de um jeito personalizado para inserir links, escondidos ou n\u00e3o, no meio do conte\u00fado do site infectado.<\/p>\n\n\n\nMalvertising<\/em><\/h3>\n\n\n\n Como forma de ganhar dinheiro, o v\u00edrus pode passar a exibir pop ups<\/em>, modais ou notifica\u00e7\u00f5es push em sites infectados. A conta nos sites de exibi\u00e7\u00e3o de propaganda \u00e9 criada de forma que n\u00e3o \u00e9 poss\u00edvel rastrear seus donos.<\/p>\n\n\n\nConclus\u00e3o<\/h2>\n\n\n\n Ainda vou trazer alguma coisa para c\u00e1 sobre licen\u00e7as de software, mas \u00e9 sempre bom lembrar que a GPL d\u00e1 a liberdade de redistribuir os programas de gra\u00e7a, e tamb\u00e9m de alter\u00e1-los como se quiser. O fato de disponibilizar gr\u00e1tis programas que originalmente s\u00e3o pagos n\u00e3o \u00e9 ilegal, mas como diria o ditado popular: n\u00e3o existe almo\u00e7o gr\u00e1tis.<\/p>\n\n\n\n
Dicas para que nada de ruim aconte\u00e7a:<\/p>\n\n\n\n
Cuidado com os c\u00f3digos que voc\u00ea inclui no seu site.<\/li> Contrate desenvolvedores confi\u00e1veis: se o pre\u00e7o for bom demais para ser verdade, algo est\u00e1 errado.<\/li> Cuidado ao abrir p\u00e1ginas que voc\u00ea n\u00e3o queria acessar. Desconfie se, de repente, for preciso fazer login na sua conta do Google, por exemplo.<\/li> Visite seu site sem estar logado, em outros dispositivos e em outras redes:O v\u00edrus n\u00e3o atua para quem est\u00e1 conectado como administrador.<\/li> Ele guarda o IP com que voc\u00ea se conectou, ent\u00e3o s\u00f3 se deslogar n\u00e3o vai funcionar.<\/li> Al\u00e9m disso ele salva um cookie no dispositivo, ou seja, n\u00e3o vai adiantar trocar de IP.<\/li><\/ul><\/li> Se algo deu errado, seja respons\u00e1vel e informe seus usu\u00e1rios. Eles podem estar vendo uma vers\u00e3o em cache do seu site infectado.<\/li><\/ul>\n\n\n\n \n\n\n\nSe voc\u00ea gostou do post n\u00e3o se esque\u00e7a de comentar e compartilhar com seus amigos!<\/p>\n","protected":false},"excerpt":{"rendered":"
Post baseado na an\u00e1lise do Wordfence sobre o malware WP-VCD.<\/p>\n","protected":false},"author":1,"featured_media":1506,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_uag_custom_page_level_css":"","footnotes":""},"categories":[30],"tags":[126],"yoast_head":"\n
Por que temas e plugins piratas s\u00e3o um problema? | Felipe Elia<\/title>\n \n \n \n \n \n \n \n \n \n \n \n \n \n \n\t \n\t \n\t \n \n \n \n \n \n\t \n\t \n\t \n