Autori Botnet Crash Site-uri WordPress cu cod Buggy

Webmasterii care găsesc un mesaj de eroare enervant pe site-urile lor s-ar putea să fi prins o pauză mare, datorită unei alunecări a autorilor botnet-ului Gumblar.

Zeci de mii de site-uri web, software-ul de blogging WordPress, au fost rupte, întorcând un mesaj "eroare fatală" în ultimele săptămâni. Potrivit experților în securitate, aceste mesaje sunt de fapt generate de niște coduri malitioase de tip buggy, care s-au strecurat pe ele de către autori ai lui Gumblar.

Gumblar a făcut titluri în luna mai când a apărut pe mii de site-uri legitime, postând codul "drive-by download" care atacă vizitatorii infectați cu o varietate de atacuri online. Botnetul a fost liniștit în iulie și august, dar recent a început să infecteze computerele din nou.

[Citește mai departe: Cum să elimini programele malware de pe PC-ul tău Windows]

Se pare că unele modificări recente făcute în codul Web Gumblar problema, potrivit cercetatorului independent de securitate, Denis Sinegubko.

Sinegubko a aflat despre această problemă acum cinci zile, când a fost abordat de unul dintre utilizatorii site-ului său de verificare a parazitelor Unmask. După ce a investigat, Sinegubko a descoperit că Gumblar a fost de vină. Autorii lui Gumblar au făcut aparent modificări ale codului lor Web fără a face testele corecte și, ca urmare, "versiunea curentă a lui Gumbar rupe efectiv blogurile WordPress", a scris el într-un articol de blog care descrie problema. afectează doar utilizatorii WordPress, a spus Sinegubko. "Orice site PHP cu arhitectură complexă poate fi afectat", a spus el prin mesaj instant.

Site-urile WordPress care s-au prăbușit din cauza codului buggy afișează următorul mesaj de eroare: Eroare fatală: Nu se poate redeclora xfm /path/to/site/index.php(1): eval () 'codul d: 1)

în /path/to/site/wp-config.php(1): eval () linia 1

Alte site-uri care rulează software, cum ar fi Joomla, primesc diferite mesaje de eroare fatale, a spus Sinegubko. "Este o eroare standard PHP", a spus el. "Dar modul în care Gumblar injectează scripturile răuvoitoare face să afișeze întotdeauna șiruri de caractere cum ar fi: eval () 'code on line 1"

Bug-ul poate părea o umilință pentru webmasteri, dar este de fapt un avantaj. De fapt, mesajele îi avertizează pe victimele lui Gumblar că au fost compromise.

Distribuitorul de securitate FireEye a spus că numărul de site-uri hackate ar putea fi în sute de mii. "Din cauza faptului că sunt buggy, puteți face acum această căutare Google și puteți găsi sute de mii de site-uri bazate pe php pe care le-au compromis", a declarat Phillip Lin, director de marketing cu FireEye. "Există o greșeală făcută de infractorii cibernetici".

Nu toate site-urile infectate cu Gumblar vor afișa acest mesaj, totuși Lin a remarcat.

Gumblar instalează codul buggy pe site-uri Web, executând mai întâi pe desktop și furtând FTP (File Transfer Protocol) informații de conectare de la victimele sale și apoi folosind aceste acreditări pentru a plasa malware pe site. Webmasterii care suspectează că site-urile lor au fost infectați pot urma instrucțiunile de detectare și de ștergere postate pe blogul lui Sinegubko. Pur și simplu schimbarea acreditărilor FTP nu va rezolva problema, deoarece autorii lui Gumblar instalează de obicei o metodă de accesare a site-urilor.