Powrót
Edukacja/07.02.2026

Wirus na WordPressie? Analiza backdoora ws42.php!

Wirus na WordPressie? Analiza backdoora ws42.php!

„Słuchaj, ostatnio coś mi się dzieje z WP.” – taką wiadomość dostałem od znajomego. Był przekonany, że to awaria serwera. Prawda okazała się znacznie gorsza.

To klasyczny scenariusz, który widzę w branży zbyt często. Znajomy dbał o swoją główną stronę wizytówkową. Miał SSL, trudne hasła i płatne wtyczki bezpieczeństwa. Jednak hakerzy nie wchodzą głównymi drzwiami, gdy mają otwarty lufcik w piwnicy.

Podczas audytu plików nie skupiłem się na katalogu public_html głównej domeny. Zamiast tego zacząłem grzebać głębiej w strukturze serwera DirectAdmin. I tam, w zapomnianym folderze, znalazłem przyczynę katastrofy.

 Zobacz też: Atak na polską sieć w wigilię!.

 Lokalizacja infekcji: /domains/test.domena.pl/public_html/

Była to stara wersja deweloperska strony, postawiona dwa lata temu dla grafika, żeby „przetestował nowe logo”. Projekt się skończył, strona została. Bez aktualizacji, bez opieki. To właśnie tam automat hakerski znalazł lukę i wgrał wtyczkę wp-files – narzędzie, które posłużyło jako cyfrowy łom do wgrania backdoora ws42.php.

Wilk w owczej skórze. Dlaczego antywirus spał?

To nie był zwykły wirus doklejający reklamy. Przeanalizowaliśmy kod ws42.php linijka po linijce. To zaawansowany Loader C2 (Command & Control). Zobacz, jak sprytnie oszukuje on zarówno administratora, jak i systemy antywirusowe.

Haker wie, że admin może zajrzeć do plików. Dlatego kod zaczyna się niewinnie. Wygląda jak profesjonalna wtyczka bezpieczeństwa – to klasyczna inżynieria społeczna.

ws42.php — fake header

<?php
/*
Plugin Name: SecurePluginWfPxIXOA96
Description: Enhanced security module
Version: 3.2.13
*/class LoaderwYhdFj94899 { … }

Wniosek: Nazwa „SecurePlugin” to kłamstwo. Jeśli widzisz coś takiego w katalogu wp-files na subdomenie – masz problem.

Mechanizm „Gate Token”. Wirus, który się broni

To najciekawsza część, którą odkryliśmy podczas analizy głębszych warstw kodu. Wirus nie działa od razu. On się „uzbraja” w locie. Kod zawiera mechanizm sprawdzający tzw. Gate Token.

Złośliwy skrypt składa w pamięci klucz z kilku kawałków (metody gtPSKraj78, gtmSxkCg28). Następnie sprawdza sumę kontrolną MD5 tego klucza. Jeśli się nie zgadza (bo np. antywirus próbował zmienić kod lub uruchomić go w bezpiecznej piaskownicy) – wirus się nie uruchomi. To mechanizm autodestrukcji i ukrywania przed badaczami.

ws42.php — self-defense mechanism

$gate_token = ;
$gate_methods = [’gtPSKraj78′, ’gtmSxkCg28′, ’gtntaWvK34′];
foreach ($gate_methods as $method) {
$gate_token .= call_user_func_array([$obj, $method], []);
}
// Sprawdzenie tożsamości wirusa
if (md5($gate_token) !== ’b5a7464929ac31a8c66aa7f8e55cb9fa’) {
die(’Access Denied’); // Wirus milknie
}

Niewidzialny dla zapory ogniowej (WAF Bypass)

Większość serwerów (WAF) blokuje funkcję eval(). Hakerzy obeszli to w sposób genialny w swojej prostocie. Zamiast uruchamiać kod w pamięci RAM, skrypt wykonuje manewr „na legalnego plika”:

  1. Tworzy tymczasowy plik na dysku serwera (funkcja tmpfile).
  2. Wpisuje do niego zaszyfrowany kod przesłany przez hakera.
  3. Używa legalnej funkcji include, aby włączyć ten plik do WordPressa.

ws42.php — execution exploit

$tmp_file = tmpfile();
fwrite($tmp_file, '<?php ’ . $code);
fseek($tmp_file, 0);
include $tmp_file_path; // Boom! Kod uruchomiony.

PODSUMOWANIE: Co musisz zrobić DZIŚ?

Historia mojego znajomego skończyła się (w miarę) dobrze. Wyczyściliśmy serwer, usunęliśmy subdomenę test.domena.pl i zabezpieczyliśmy domenę główną. Ale stresu i straconego czasu nikt mu nie odda.

Wyciągnij wnioski z cudzych błędów. Oto Twoja lista zadań:

  • Sprawdź katalog /domains/
    Zaloguj się na FTP lub DirectAdmin. Czy widzisz tam foldery typu test, dev, old? Jeśli ich nie używasz – USUŃ JE NATYCHMIAST.
  • Szukaj wtyczki „wp-files”
    Przeskanuj katalog wp-content/plugins. Jeśli znajdziesz tam folder wp-files, którego sam nie instalowałeś, oznacza to, że ktoś już tam był.
  • Izolacja to podstawa
    Upewnij się, że Twój hosting używa separacji katalogów (np. open_basedir). Dzięki temu infekcja na subdomenie nie przejdzie na domenę główną.

Nie daj się złapać. Sprawdź swoje serwery jeszcze dzisiaj.