Tijdens een routine controle van een van de WordPress websites, die ik in het verleden heb ontwikkeld, viel het mij op dat er vreemde Javascript code toegevoegd was. Deze Javascript code was aan het einde van twee berichten toegevoegd door een bestaande gebruiker. Ik zag dit toevallig op de voorpagina van wp-admin waar de Simple History plugin de laatste acties toont.
Ik heb dit daarom verder onderzocht. Blijkbaar was de Javascript code als losse opslagactie toegevoegd aan het bericht. Dit stond dus helemaal los van de content die al eerder was toegevoegd. Hieronder staat een screenshot van de JavaScript code die me meteen doe denken aan de WordPress malware code die ik een tijdje geleden heb onderzocht.
Na het ontcijferen van deze code bleek de code weer JavaScript bestanden van externe websites in te laden die ook weer ontcijferd moesten worden. Dat code ontcijfert moet worden geeft al snel aan dat het om code gaat die geheim moet blijven. Afhankelijk welke manier de auteur gebruikt om de code geheim te maken zijn Online JavaScript beautifier of Base64 Decode en Encode mooie hulpmiddelen.
Na het ontcijferen wordt er een JavaScript ingeladen van 1725 regels code. Wegens de hoeveelheid regels heb ik het script niet toegevoegd aan dit bericht. Uit onderzoek blijkt dat het script als doel had om bitcoins van het type Cryptonight te minen. Cryptonight coins worden gemined (verzamelt) door het uitvoeren van complexe berekeningen op computers.
JavaScript wordt altijd uitgevoerd op de computer van de bezoeker. Door het JavaScript bestand uit te voeren worden er dus coins gemined door gebruik te maken van de rekenkracht van de computer van de bezoeker. De bezoeker zal merken dat de computer hierdoor trager reageert omdat er telkens 100% gebruik gemaakt wordt van de rekenkracht.
Ik heb vervolgens de JavaScript code verwijderd en het account waarmee de JavaScript code was toegevoegd voorzien van een nieuw wachtwoord. Hierna heb ik een e-mail met mijn bevindingen gestuurd naar de eigenaar van de website.
Paar tips:
- Controleer af en toe of er geen vreemde dingen gebeuren op je website
- Installeer Simple History plugin, maakt activiteit controle gemakkelijker
- Gebruik een SSL certificaat voor versleuteling van verkeer tussen bezoeker en website
- Maak gebruik van complexe wachtwoorden, dus geen goudvis1 of wachtwoord2
Uitstekende informatie die je hebt gedeeld. Het artikel is het lezen waard. Kijk trouwens ook naar die tool https://url-decode.com/. Hopelijk helpt die tool je ook bij je toekomstige audit. Omdat het ook 100+ webhulpprogramma’s heeft voor de gebruikers. Gerelateerd aan codering en decodering, converters en nog veel meer.