Эпидемия среди сайтов под WordPress

16 Dec 2014 | Автор: dd |

Вирусологи из Sucuri сообщили о том, что более 100к сайтов было инфицировано в эти выходные, благодаря не закрытой уязвимости плагина Slider Revolution для CMS WordPress, о которой я писал в конце сентября.

И если тогда с помощью данной уязвимости на клиентский сайт мне напихали левых ссылок, то в данный момент имеется российский зловред SoakSoak эксплуатирующий данную дырку, путем заражения сайта под WordPress и превращением её в атакующую площадку, путем размещения зашифрованного кода через wp-includes/template-loader.php, который при загрузке страницы дергает вредоносный  загрузчик с сайта soaksoak.ru/xteas/code.

В этой связи поисковая система Google уже заблокировала более 11к доменов, размещающих зараженные сайты. В онлайн сканнер Sucuri уже внесены сигнатуры SoakSoak, т.ч сайт можно просканировать в том числе и на заражение этим зловредом.

Отдельную пикантность этой новости добавляет то, что плагин Slider Revolution является коммерческим продуктом, и не смотря на то, что на официальной странице плагина уже давно висит объява о том, что версии моложе 4.1.4 необходимо обновить, армия ленивых вемастеров этого не делала практически полгода, ибо эта уязвимость была описана еще в начале сентября.

Заражение происходит следующим образом:
1. сначала атакующий хост сканирует сайт на наличие файла revicons.eot в папке фонтов плагина /wp-content/plugins/revslider/rs-plugin/font/revicons.eot, после чего пытается дернуть wp-config.php используя уязвимость плагина;
2. если все проходит нормально, то используется вторая уязвимость плагина Revslider и на сайт грузится зараженная тема;
3. если все проходит хорошо, то суется популярный бэкдор Filesman, который суется напрямую в /wp-content/plugins/revslider/temp/update_extract/revslider/update.php после чего модифицируется swfobject.js и пользователям начинает соваться загрузчик с вредоносного сайта.

Лечится зараженный сайт, путем замещения файлов swfobject.js и template-loader.php на оригинальные версии, и естественно обновлением плагина Slider Revolution до актуальной версии 4.6.5

VN:F [1.9.21_1169]
Rating: 7.3/10 (4 votes cast)
VN:F [1.9.21_1169]
Rating: 0 (from 0 votes)
Эпидемия среди сайтов под WordPress, 7.3 out of 10 based on 4 ratings

Теги: ,

Ваш отзыв