Botnet Autori Crash WordPress Sites s buggy kod

Webmasteri koji na svojoj web lokaciji nađu neugodno poruku o pogrešci možda su došli do velike pauze, zahvaljujući slip-upu autora Gumblar botnet.

Deseci tisuća web stranica, od kojih su mnoge male web stranice WordPress blogging software, bili su slomljeni, vraćajući poruku "fatalne pogreške" u posljednjih nekoliko tjedana. Prema sigurnosnim stručnjacima, te su poruke zapravo generirane od strane nekih zlonamjernog koda na kojima su Gumblarovi autori štitili.

Gumblar je u svibnju objavio naslove kada se pojavio na tisućama legitimnih web stranica, objavivši ono što je poznato kao kod "preuzimanja pogona" koji napada zaražene posjetitelje s različitim napadima na mreži.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Očigledno je, međutim, došlo do nedavnih promjena na Gumblarovom web-kodu problem, prema nezavisnom istraživaču sigurnosti Denis Sinegubko.

Sinegubko je saznao o ovom problemu prije otprilike pet dana kad mu je jedan od korisnika njegovog otkrića pokušao otkriti njegovo otkriće. Nakon istrage, Sinegubko je otkrio da je Gumblar kriv. Gumblarovi autori očito su izvršili neke promjene u njihovom web-kodu bez odgovarajućeg testiranja i kao rezultat toga "trenutna verzija Gumbara učinkovito pokvari WordPress blogove", napisao je u postu na blogu koji opisuje problem.

Bug ne samo utječu na korisnike WordPressa, rekao je Sinegubko. "Svaki PHP web sa složenom arhivskom datotekom može biti pogođen", kazao je on putem instant poruke.

WordPress web stranice koje su se srušile zbog buggy koda prikazuju sljedeću poruku o pogrešci: Fatalna pogreška: Can not redeclare xfm () (prethodno deklarirano u /path/to/site/index.php(1): eval () 'd kod: 1)

u /path/to/site/wp-config.php(1): eval ()' d kod na line 1

Ostale web stranice koje izvode softver kao što je Joomla dobivaju različite poruke s kobnim greškama, rekao je Sinegubko. "To je standardna pogreška u PHP-u", rekao je. "No, način na koji Gumblar injektira zlonamjerne skripte čini da uvijek prikazuje žice poput: eval () 'd koda na liniji 1"

Bug se može činiti kao smetnja webmasterima, ali to je zapravo blagodat. Zapravo, poruke upozoravaju Gumblarove žrtve da su ugrožene.

Dobavljač Security FireEye rekao je da bi broj sjeckanih stranica mogao biti u stotinama tisuća. "Zbog činjenice da su ludovi, sada možete učiniti Google pretraživanje i pronaći ćete stotine tisuća php-temeljenih web stranica koje su ugrozili", rekao je Phillip Lin, direktor marketinga s FireEyem. "Postoji pogreška koju su napravili cyber-kriminalci".

Neke Gumblar-ove web stranice neće prikazivati ​​ovu poruku, no Lin je zabilježio.

Gumblar instalira svoj bugijski kod na web-mjesta tako što će se najprije pokrenuti na radnoj površini i ukrasti FTP (File Transfer Protocol) podatke o prijavi od svojih žrtava, a zatim pomoću tih vjerodajnica staviti zlonamjerni softver na web mjesto. Webmasteri koji sumnjaju da su njihove web stranice zaražene mogu slijediti upute za otkrivanje i uklanjanje objavljene na Sinegubkovom blogu. Jednostavno mijenjanje vjerodajnica FTP-a neće riješiti problem jer Gumblarovi autori obično instaliraju način pristupa natrag na vrata.