VisitorTracker: массовый взлом WordPress.

для статьи про взломКомпания Sucuri Labs, которая занимается информационной безопасностью, сообщает о массовом заражении сайтов на популярной CMS WordPress. Вирусная эпидемия, начало которой было замечено в первых числах сентября, уже поразила более 6000 сайтов и эта цифра продолжает быстро расти, причем в последние дни — экспоненциально. В 95% случаев на сайтах, которые были взломаны, установлена система управления контентом WordPress. Атака была названа VisitorTracker, т.к. во все найденные JavaScript-файлы взломанных ресурсов взломщики помещают функцию под названием visitorTracker_isMob(), которая выглядит так:

 

 

function visitorTracker_isMob( ){
var ua = window.navigator.userAgent.toLowerCase();
if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|mi..|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc .. |vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(ua.substr(0,4))) {
return true;
return false;
} /* .. visitorTracker .. */ /*

После этого посетители зараженных сайтов перенаправляются на страницу взломщиков, где на их компьютер загружается известный эксплойт-набор Nuclear. Происходит это с помощью iframe, внедренного на сайт-жертву, в котором открывается страница загрузки эксплойта. Сейчас вирус отправляет пользователей на ресурс vovagandon.tk (193.169.244.159), однако и доменные имена, и само содержание опасной страницы все время меняется. А использование вируса Nuclear остается неизменным. Каким именно образом сайты заражаются, пока точно неизвестно, зараженные сайты были инфицированы по-разному и общие признаки еще не выделены. Проблема в том, что WordPress имеет большое количество плагинов, которые могут быть использованы для атаки.

Как обычно бывает в случаях подобных эпидемий, рекомендуется обновить до последних версий саму CMS и все ее плагины, придерживаться мер безопасности для сайтов и периодически проверять свой сайт на предмет вредоносного кода. Сделать это можно, например, из консоли Unix с помощью команды grep -r “visitorTracker_isMob” /var/www/ или загрузив сайт на свой компьютер и запустив текстовый поиск по файлам сайта там.

Метки: WordPress | безопасность | взлом | компьютерный вирус | проблемы безопасности | хакерская атака

Статьи по теме: