Botnet Συντάκτες Crash Sites WordPress με κωδικό Buggy

Οι υπεύθυνοι Webmasters που βρίσκουν ένα ενοχλητικό μήνυμα σφάλματος στους ιστότοπούς τους μπορεί να έχουν τραβήξει ένα μεγάλο διάλειμμα χάρη σε μια ολίσθηση από τους συντάκτες του botnet Gumblar

Δεκάδες χιλιάδες ιστότοποι, πολλοί από τους οποίους τρέχουν μικρές τοποθεσίες το λογισμικό blogging WordPress, έχουν σπάσει, επιστρέφοντας ένα μήνυμα "θανατηφόρου λάθους" τις τελευταίες εβδομάδες. Σύμφωνα με τους ειδικούς της ασφάλειας, αυτά τα μηνύματα παράγονται στην πραγματικότητα από κάποιο κακόβουλο κώδικα που παρουσιάστηκε από τους συγγραφείς της Gumblar.

Ο Gumblar έκανε πρωτοσέλιδα τον Μάιο όταν εμφανίστηκε σε χιλιάδες νόμιμους ιστότοπους, δημοσιεύοντας τον κώδικα "drive-by download" που προσβάλλει τους μολυσμένους επισκέπτες με διάφορες επιθέσεις στο διαδίκτυο. Το botnet ήταν ήσυχο κατά τη διάρκεια του Ιουλίου και του Αυγούστου, αλλά πρόσφατα έχει αρχίσει να μολύνει τους υπολογιστές ξανά.

Προφανώς, μερικές πρόσφατες αλλαγές στον κώδικα Web της Gumblar προκάλεσαν το πρόβλημα, σύμφωνα με τον ανεξάρτητο ερευνητή ασφαλείας Denis Sinegubko.

Ο Sinegubko μάθει για το ζήτημα πριν από περίπου πέντε ημέρες, όταν προσεγγίσθηκε από έναν από τους χρήστες του Checkmaster του Unmask Parasites. Μετά τη διερεύνηση, ο Sinegubko ανακάλυψε ότι ο Gumblar ήταν φταίος. Οι συγγραφείς του Gumblar προφανώς κάνανε κάποιες αλλαγές στον κώδικα του Ιστού χωρίς να κάνουν τις σωστές δοκιμές και ως αποτέλεσμα "η τρέχουσα έκδοση του Gumbar διαλύει αποτελεσματικά τα blogs του WordPress", έγραψε σε μια θέση στο blog που περιγράφει το θέμα. απλά επηρεάζουν τους χρήστες WordPress, είπε ο Sinegubko. "Οποιοσδήποτε ιστότοπος PHP με σύνθετη αρχιτεκτονική αρχείων μπορεί να επηρεαστεί", δήλωσε με άμεσο μήνυμα.

Οι ιστότοποι WordPress που έχουν καταρρεύσει εξαιτίας του κώδικα buggy παρουσιάζουν το ακόλουθο μήνυμα λάθους: Θανάσιμο σφάλμα: Δεν είναι δυνατή η εκ νέου εκχώρηση xfm () /path/to/site/index.php (1): eval () 'd κωδικός: 1)

στο /path/to/site/wp-config.php (1): eval () γραμμή 1

Άλλοι ιστότοποι που χρησιμοποιούν λογισμικό όπως το Joomla παίρνουν διαφορετικά μηνύματα με μοιραία λάθη, είπε ο Sinegubko. "Είναι ένα τυπικό σφάλμα PHP", είπε. "Αλλά ο τρόπος με τον οποίο ο Gumblar εγχέει κακόβουλα σενάρια κάνει πάντα να εμφανίζει συμβολοσειρές όπως: eval () 'd code on line 1"

Το σφάλμα μπορεί να φαίνεται σαν ενοχλητική για τους webmasters, αλλά είναι πραγματικά ένα όφελος. Στην πραγματικότητα, τα μηνύματα προειδοποιούν τα θύματα του Gumblar ότι έχουν συμβιβαστεί.

Ο πωλητής ασφαλείας FireEye είπε ότι ο αριθμός των hacked sites θα μπορούσε να ανέρχεται σε εκατοντάδες χιλιάδες. "Λόγω του γεγονότος ότι είναι buggy, μπορείτε να κάνετε αυτήν την αναζήτηση στο Google και μπορείτε να βρείτε εκατοντάδες χιλιάδες ιστότοπους με php που έχουν συμβιβαστεί", δήλωσε ο Phillip Lin, διευθυντής μάρκετινγκ με το FireEye. "Δεν υπήρχαν λάθη από τους εγκληματίες του κυβερνοχώρου."

Όλοι οι ιστότοποι που έχουν μολυνθεί από το Gumblar δεν θα εμφανίσουν αυτό το μήνυμα, ωστόσο, σημειώνει ο Lin.

Ο Gumblar εγκαθιστά τον κώδικα buggy σε τοποθεσίες Web εκτελώντας πρώτα την επιφάνεια εργασίας και κλέβοντας το FTP (Πρωτόκολλο μεταφοράς αρχείων) πληροφορίες σύνδεσης από τα θύματά του και στη συνέχεια χρησιμοποιώντας αυτά τα διαπιστευτήρια για την τοποθέτηση κακόβουλου λογισμικού στον ιστότοπο. Οι Webmasters που υποψιάζονται ότι οι ιστότοποί τους έχουν μολυνθεί μπορούν να ακολουθήσουν τις οδηγίες ανίχνευσης και κατάργησης που δημοσιεύθηκαν στο ιστολόγιο του Sinegubko. Η απλή αλλαγή των διαπιστευτηρίων FTP δεν θα διορθώσει το πρόβλημα, καθώς οι συγγραφείς της Gumblar συνήθως εγκαθιστούν μια μέθοδο back-door για την πρόσβαση σε ιστότοπους