Botnet szerzők Crash WordPress helyek Buggy kóddal

Azok a webmesterek, akik bosszantó hibaüzenetüket találják webhelyeiken, nagy szünetet tarthattak, köszönhetően a Gumblar botnet szerzőinek letépésének köszönhetően.

Több tízezer webhely, amelyek közül sok kis webhely fut a WordPress blogging szoftverét törölték, és a "halálos hiba" üzenetet küldtek az elmúlt hetekben. A biztonsági szakértők szerint ezek az üzenetek tulajdonképpen a Gumblar szerzői által rájuk bukkanó hibás rosszindulatú kódok generálják őket.

A Gumblar májusban tette közzé a fejléceket, amikor több ezer törvényes webhelyen jelent meg, a "drive-by download" kóddal amely támadja a fertőzött látogatókat a különböző online támadásokkal szemben. A botnet július és augusztus között csendes volt, de a közelmúltban újra megfertőzte a számítógépeket.

[További olvasmány: Hogyan távolítsuk el a rosszindulatú programokat Windows számítógépről]

Úgy tűnik azonban, hogy a Gumblar webkódja a probléma, független szakértő, Denis Sinegubko szerint.

Sinegubko körülbelül öt nappal ezelőtt megtudta a témát, amikor az Unmask Parasites weboldal-ellenőrzőjének egyik felhasználója megközelítette. A vizsgálat után Sinegubko felfedezte, hogy Gumblar hibás. A Gumblar szerzői nyilvánvalóan bizonyos változtatásokat hajtottak végre webkódjukon a megfelelő tesztelés nélkül, és ennek eredményeképpen "a Gumbar aktuális verziója hatékonyan szünteti meg a WordPress blogokat" - írta egy blogbejegyzés, amely leírja a problémát.

A hiba nem csak érintse a WordPress felhasználókat, mondta Sinegubko. "Az összetett fájlok architektúrájával foglalkozó PHP-fájlok érintettek lehetnek" - mondta az azonnali üzenetben.

A hibakód miatt összeomlott WordPress-oldalak a következő hibaüzenetet jelenítik meg: Halálos hiba: Nem lehet redeclare xfm () /path/to/site/index.php(1): eval () 'd kód: 1)

a /path/to/site/wp-config.php(1) helyen: eval ()' d kód 1. sor

A Joomla szoftvereket futtató egyéb webhelyek különböző halálos hibaüzeneteket kapnak, mondta Sinegubko. "Ez egy standard PHP hiba" - mondta. "De ahogy a Gumblar rosszindulatú parancsfájlokat futtat, mindig megjelenik a következő sorok: eval ()" d code on line 1 "

A hiba úgy tűnhet, mint egy bosszúság a webmestereknek, de ez valójában egy áldás. Valójában az üzenetek figyelmeztetik a Gumblar áldozatait, hogy veszélybe kerültek.

Security vendor FireEye elmondta, hogy a feltört webhelyek száma több százezer emberben lehet. "Mivel hibásak, most már elvégezheti ezt a Google-keresést, és több százezer php-alapú webhellyel találkozhat, amelyet kompromittáltak" - mondta Phillip Lin, a FireEye marketing igazgatója. "A cyber-bűnözők hibát követtek el."

Nem minden Gumblar-fertőzött webhely fogja megjeleníteni ezt az üzenetet, de Lin megjegyezte.

A Gumblar telepíti a hibás kódot a webhelyekről azáltal, hogy először fut az asztalon és ellopja az FTP-t (File Transfer Protocol) bejelentkezési adatokat az áldozatoktól, majd ezeket a hitelesítő adatokat felhasználva rosszindulatú programokat helyez el a webhelyen. Azok a webmesterek, akik azt gyanítják, hogy webhelyük fertőzött, követhetik a Sinegubko blogjában feltárt észlelési és eltávolítási utasításokat. Az egyszerűen megváltoztatható FTP-hitelesítő adatok nem oldják meg a problémát, hiszen a Gumblar szerzői általában egy hátsó ajtóbeli hozzáférési módot telepítenek.