Gaál József

Rejtett WordPress backdoorok: hogyan támadják meg az adminisztrátori fiókokat?
Hírek
A Bitdefender kutatói olyan rejtett backdoor mechanizmusokat fedeztek fel, melyek célja nem csak az oldal kompromittálása, hanem új adminisztrátori fiókok létrehozása és fenntartása.

Gaál József

Röviden: A Bitdefender kutatói olyan rejtett WordPress backdoorokat találtak, amelyek adminisztrátori fiókokat hoznak létre és fenntartanak — gyakori jellegzetességük, hogy eltávolítják magukat a plugin-listából, adatokat exfiltrálnak, és automatikusan visszaállítják a törölt fiókokat. Azonnali ellenőrzési és tisztítási lépéseket adunk.

Mi történt? – rövid összefoglaló a Bitdefender jelentés alapján

Biztonsági kutatók (Bitdefender, Sucuri hivatkozva) olyan kártékony komponenseket azonosítottak WordPress oldalakban, amelyek célzottan új adminisztrátori fiókokat hoznak létre. A két fő minta:

  • DebugMaster Pro – álcázott „debug” pluginként jelenik meg, de admin fiókot hoz létre, érzékeny adatokat gyűjt és távolra továbbítja.
  • wp-user.php – egyszerű scriptnek tűnik, de önmagát futtatva admin fiókot generál, és ha törlik, a következő futáskor visszaállítja azt.

Hogyan működnek — mit csinálnak pontosan?

A backdoorok általános viselkedése:

  • Új admin felhasználók létrehozása preset adatokal.
  • Bejelentkezési adatok és szerverinformációk kiszivárogtatása JSON+base64 formátumban külső C&C szerverre.
  • Fájlok és pluginok elrejtése (pl. eltávolítják magukat a plugin-listából), valamint további kódinjekciók végrehajtása csak bizonyos IP-címek vagy nem admin látogatók felé.
  • Ön-persistencia: ha a támadó fiókját törlik, egy másik komponens visszaállítja.

Gyanús jelek — nézd át most az oldaladat

Azonnal ellenőrizd az alábbiakat:

  1. Ismeretlen fájlok a szerveren: wp-content/plugins, wp-content/mu-plugins, gyökérkönyvtár. Keresd a DebugMaster.php, wp-user.php és hasonló neveket.
  2. Váratlan adminisztrátori fiókok a Felhasználók menüben (pl. help, admin2 stb.).
  3. Törölt fiókok visszaállnak idővel — ha ilyet látsz, fennáll a fertőzés esélye.
  4. Szokatlan kimenő forgalom: a szerver hivatkozik ismeretlen külső címekre, vagy sok base64/json POST/GET kérelmet látsz.

Lépésről-lépésre: mit tegyél most (gyakorlati útmutató)

Ez a gyors playbook azoknak, akik azonnal lépni szeretnének. Haladj sorrendben — ha bármelyik lépésben bizonytalan lennél, kérj technikai segítséget (mi megcsináljuk helyetted).

1) Biztonsági mentés

Készíts teljes mentést a weboldalról (fájlok + adatbázis) — ne dolgozz közvetlenül az éles tartalom felett. Ha lehet, mentsd le a szerver naplókat is.

2) Ismeretlen fájlok felderítése és karantén

  1. SSH/sFTP kapcsolaton keresd át a webrootot és a plugin mappákat: find . -type f -iname '*debug*' -o -iname 'wp-user.php' -o -iname '*backdoor*'.
  2. Másold ki és karanténba tedd a gyanús fájlokat (pl. /tmp/malware-samples/), ne töröld azonnal — előfordul, hogy vizsgálathoz kellenek.

3) Felhasználói audit

  1. Exportáld a felhasználói listát (user ID, felhaszn. név, email, szerepkör, utolsó bejelentkezés).
  2. Azonnal deaktiváld (ne töröld) a gyanús admin fiókokat, és figyeld meg, visszatérnek-e.

4) Jelszavak és kulcsok cseréje

Meglévő jelszavak azonnali cseréje: WordPress adminok, adatbázis, FTP/SFTP, tárhelypanel, SSH kulcsok. Használj jelszókezelőt és erős jelszókat.

5) Naplók és forgalomelemzés

Nézd át az access/error logokat, keresd a gyanús POST/GET kéréseket és a kimenő kapcsolatokat. Ha találsz ismeretlen domaint, blokkolhatod tűzfallal és tovább vizsgálhatod.

6) Frissítések és védelem

  • Frissítsd a WordPress magot, pluginokat és témákat a stabil verziókra.
  • Telepíts WAF-et és malware scanner-t (pl. Wordfence, Shield Security, Sucuri WAF) — de a WAF önmagában nem helyettesíti a tisztítást.
  • Állíts be fájl-engedélyeket (például PHP fájlok ne legyenek írhatóak webszerver felhasználó által, ahol lehetséges).

7) Visszaállítás és utóellenőrzés

Ha mentésből állítasz vissza, előbb tisztítsd, majd frissítsd és ellenőrizd a komplett rendszert. Futtass malware scan-t és forgalomelemzést legalább 7 napig.

Gyakorlati javaslatok szolgáltatóknak és üzemeltetőknek

  • Automatizált rendszeresen futó integritásellenőrzés (pl. fájl hash összevetés git vagy egyedi script alapján).
  • n8n / cron alapú napi ellenőrzés: lista a pluginokból + checksum + értesítés Slack/Email.
  • Minimalizáld az admin fiókok számát, használd 2FA-t minden adminnál.