Botnet Autoři Crash Stránky WordPress s kódem Buggy

Webmasteři, kteří na svých stránkách najdou obtěžující chybovou zprávu, mohou díky chybějícím autorům botnetu Gumblar zachytit velký zlom.

Desítky tisíc webů, z nichž mnohé jsou malé stránky běžící WordPress blogging software, byly rozbité, vracející se "fatální chyba" zpráva v posledních týdnech. Podle bezpečnostních expertů jsou tyto zprávy skutečně generovány nějakým chybným kódem buggy, který se na ně objevili autory Gumblara.

Gumblar se v květnu dostal na titulky, když se objevil na tisících legitimních webových serverů a zveřejnil takzvané "drive-by download" který napadá infikované návštěvníky s různými online útoky. Během července a srpna byla botnet tichá, ale v poslední době začala znovu infikovat počítače.

Zdá se však, že některé nedávné změny provedené v Gumblarově webovém kódu způsobily Problém, podle nezávislého bezpečnostního výzkumníka Denis Sinegubka.

Sinegubko se o této problematice dozvěděl asi před pěti dny, kdy byl osloven jedním z uživatelů jeho kontroly na webových stránkách Unmask Parasites. Po vyšetřování Sinegubko zjistil, že Gumblar je vinen. Gumblarovi autoři zřejmě provedli nějaké změny ve svém webovém kódu, aniž by provedli správné testování a v důsledku toho "aktuální verze Gumbaru účinně rozbíjí blogy WordPressu," napsal v příspěvku na blogu popisujícím tento problém.

Chyba není jen ovlivnit uživatelé aplikace WordPress, řekl Sinegubko. "Jakékoli PHP stránky se složitou architekturou souborů mohou být ovlivněny," řekl podle okamžité zprávy.

Stránky WordPress, které se zřítily kvůli chybovému kódu, zobrazí následující chybovou zprávu: Smrtelná chyba: Nelze znovu vypsat xfm () /path/to/site/index.php (1): eval () 'd kód: 1)

v /path/to/site/wp-config.php(1): eval () line 1

Jiné weby používající software, jako je Joomla, mají různé zprávy o fatálních chybách, řekl Sinegubko. "Je to standardní PHP chyba," řekl. "Ale způsob, jakým Gumblar injektuje škodlivé skripty, je vždy zobrazovat řetězce jako: eval () 'd kód na řádku 1"

Chyba může vypadat jako nepríjemnost pro webmastery, ale je to vlastně výhoda. Ve skutečnosti zprávy varují Gumblarovy oběti, že byly ohroženy.

Bezpečnostní dodavatel FireEye řekl, že počet napadených stránek může být ve stovkách tisíc. "Vzhledem k tomu, že jsou buggy, můžete nyní provést toto vyhledávání Google a můžete najít stovky tisíc webových stránek založených na php, které byly kompromitovány," řekl Phillip Lin, ředitel marketingu společnosti FireEye. "Došlo k chybě, kterou udělali zločinci."

Ne všechny stránky infikované Gumblarem zobrazí tuto zprávu, nicméně Lin poznamenal.

Gumblar nainstaluje svůj buggy kód na webové stránky nejdříve spuštěním na ploše a krádeží FTP (File Transfer Protocol) přihlašovací údaje od svých obětí a poté pomocí těchto pověření umístit malware na stránky. Webmasteři, kteří mají podezření, že jejich stránky byly nakaženy, mohou následovat pokyny k detekci a odebrání, které byly zveřejněny na blogu Sinegubka. Jednoduše změna pověření FTP problém nevyřeší, protože autory společnosti Gumblar obvykle instalují zpětný přístup k webovým stránkám.