Autorzy botnetów Crash WordPress Witryny z kodem Buggy

Webmasterzy, którzy znaleźli irytujący komunikat o błędzie na swoich stronach, mogli wpaść na poważną przerwę dzięki wpadce autorów botnetu Gumblar.

Dziesiątki tysięcy stron internetowych, z których wiele to małe witryny oprogramowanie do blogowania WordPress zostało złamane, a w ostatnich tygodniach pojawił się komunikat "błąd krytyczny". Według ekspertów od bezpieczeństwa wiadomości te są generowane przez złośliwy kod, który został przez nich wprowadzony przez autorów Gumblara.

Gumblar znalazł się na pierwszych stronach gazet w maju, kiedy pojawił się na tysiącach legalnych stron internetowych, publikując kod zwany "drive-by download" który atakuje zainfekowanych użytkowników różnymi atakami online. Botnet był cichy w lipcu i sierpniu, ale ostatnio zaczął ponownie infekować komputery.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Wydaje się jednak, że niektóre ostatnie zmiany dokonane w kodzie internetowym Gumblara spowodowały problem, według niezależnego badacza bezpieczeństwa, Denisa Sinegubko.

Sinegubko dowiedział się o tym około 5 dni temu, kiedy skontaktował się z nim jeden z użytkowników jego narzędzia do sprawdzania stron internetowych Unmask Parasites. Po zbadaniu, Sinegubko odkrył, że winę ponosi Gumblar. Autorzy Gumblara najwyraźniej dokonali pewnych zmian w swoim kodzie internetowym bez przeprowadzania odpowiednich testów, a w rezultacie "obecna wersja Gumbar skutecznie niszczy blogi WordPress" - napisał w blogu opisującym problem.

Błąd nie po prostu wpłynąć na użytkowników WordPress, powiedział Sinegubko. "Dowolna strona PHP ze złożoną architekturą plików może zostać naruszona", powiedział za pośrednictwem wiadomości błyskawicznej.

Witryny WordPress, które uległy awarii z powodu błędnego kodu wyświetlają następujący komunikat o błędzie: Błąd krytyczny: Nie można redeclare xfm () (wcześniej zadeklarowano w /path/to/site/index.php(1): eval () 'd code: 1)

in / path /to/site/wp-config.php(1): eval ()' d kod na linia 1

Inne witryny z oprogramowaniem takim jak Joomla otrzymują różne komunikaty o błędach, powiedział Sinegubko. "Jest to standardowy błąd PHP", powiedział. "Ale sposób, w jaki Gumblar wstrzykuje złośliwe skrypty powoduje, że zawsze wyświetla on ciągi takie jak: eval () 'd kod na linii 1"

Błąd może wydawać się irytacją dla webmasterów, ale w rzeczywistości jest dobrodziejstwem. W efekcie wiadomości ostrzegają ofiary Gumblara o tym, że zostały zaatakowane.

Dostawca zabezpieczeń FireEye powiedział, że liczba zhakowanych stron może znajdować się w setkach tysięcy. "Z uwagi na fakt, że są one wadliwe, możesz teraz wykonywać tę wyszukiwarkę Google i możesz znaleźć setki tysięcy witryn opartych na PHP", powiedział Phillip Lin, dyrektor ds. Marketingu w FireEye. "Cyberprzestępcy popełnili błąd."

Nie wszystkie strony zainfekowane przez Gumblara będą wyświetlać ten komunikat, jednak Lin zauważył.

Gumblar instaluje swój błędny kod w witrynach sieci Web, najpierw uruchamiając komputer i kradnąc FTP (File Transfer Protocol), aby uzyskać informacje o logowaniu od swoich ofiar, a następnie użyć tych poświadczeń do umieszczenia złośliwego oprogramowania na stronie. Webmasterzy, którzy podejrzewają, że ich witryny zostały zainfekowane, mogą śledzić instrukcje wykrywania i usuwania zamieszczane na blogu Sinegubko. Po prostu zmiana danych uwierzytelniających na serwerze FTP nie rozwiąże problemu, ponieważ autorzy Gumblara zwykle instalują metodę dostępu do witryn z tyłu.