Botnet Forfattere Crash WordPress Sites Med Buggy Code

Webmastere, der finder en irriterende fejlmeddelelse på deres websteder, kan have fået en stor pause takket være en opslæmning af Gumblar botnet-forfatterne.

Tusindvis af websteder, mange af dem små websteder kører WordPress blogging software er blevet brudt, og returnerer en meddelelse om "fatale fejl" i de seneste uger. Ifølge sikkerhedseksperter er disse meddelelser faktisk genereret af nogle buggy ondsindede kode slået ind på dem af Gumblar's forfattere.

Gumblar lavede overskrifter i maj, da det optrådte på tusindvis af legitime websteder, og sendte det såkaldte "drive-by download" -kode der angriber inficerede besøgende med en række online-angreb. Botnetet var stille i juli og august, men for nylig er det begyndt at inficere computere igen.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Tilsyneladende er der dog sket nogle seneste ændringer i Gumblar's webkode problemet, ifølge den uafhængige sikkerhedsforsker Denis Sinegubko.

Sinegubko lærte om spørgsmålet om fem dage siden, da han blev kontaktet af en af ​​brugerne af sin Unmask Parasites Web site checker. Efter at have undersøgt, opdagede Sinegubko, at Gumblar var skylden. Gumblar's forfattere har tilsyneladende lavet nogle ændringer i deres webkode uden at foretage den korrekte test, og som følge heraf "den nuværende version af Gumbar effektivt bryder WordPress blogs", skrev han i et blog-indlæg, der beskriver problemet.

Fejlen gør ikke Bare påvirke WordPress-brugere, siger Sinegubko. "Enhver PHP-site med kompleks filarkitektur kan blive påvirket", sagde han via instant message.

WordPress-websteder, der er styrtede på grund af buggy-koden, viser følgende fejlmeddelelse: Fatal error: Kan ikke omklare xfm () (tidligere erklæret i /path/to/site/index.php(1): eval () 'd kode: 1)

i /path/to/site/wp-config.php(1): eval ()' d kode på linje 1

Andre websteder, der kører software som Joomla, får forskellige fatale fejlmeddelelser, siger Sinegubko. "Det er en standard PHP fejl," sagde han. "Men den måde Gumblar injicerer ondsindede scripts gør det altid at vise strenge som: eval () 'd-kode på linje 1'

Fejlen kan virke som en irritation for webmastere, men det er faktisk en velsignelse. I virkeligheden advarer meddelelserne Gumblar's ofre, at de er blevet kompromitteret.

Sikkerhedsleverandør FireEye sagde, at antallet af hackede websteder kunne være i hundredtusinderne. "På grund af det faktum, at de er buggy, kan du nu gøre denne Google-søgning, og du kan finde hundredtusinder af php-baserede websteder, som de har kompromitteret", siger Phillip Lin, marketingchef hos FireEye. "Der blev foretaget en fejl foretaget af cyberkriminelle."

Ikke alle Gumblar-inficerede websteder vil vise denne meddelelse, men bemærkede Lin.

Gumblar installerer sin buggy-kode på websteder ved først at køre på skrivebordet og stjæle FTP (File Transfer Protocol) loginoplysninger fra sine ofre og derefter bruge disse legitimationsoplysninger til at placere malware på webstedet. Webmastere, som har mistanke om, at deres websteder er blevet inficeret, kan følge instruktionerne til afsløring og fjernelse på Sinegubkos blog. Simpelthen skiftende FTP-legitimationsoplysninger løser ikke problemet, da Gumblar's forfattere normalt installerer en bagdør-metode til at få adgang til websteder.