Блог о безопасности

Массовые заражения WordPress

28 апреля 2012, 18:22

Некоторое время назад мы обратили внимание на массовое заражение сайтов, использующих  CMS WordPress . Вредоносный код классифицируется антивирусом компании Sophos как Troj/JSRedir-GS. Сейчас Яндексу известно уже о 3 500 заражённых этим кодом сайтов, их количество продолжает расти.

 

Рост общего количества хостов представлен на рисунке 1.



Рис.1. Общее количество  заражённых и вылеченных сайтов Troj/JSRedir-GS



В среднем за сутки антивирусная система Безопасного Поиска находит вредоносный код Troj/JSRedir-GS более чем на 24 000 веб-страниц. Количество обнаруживаемых при этом заражённых сайтов показано на рисунке 2.



Рис.2. Количество новых сайтов, на которых обнаружено заражение Troj/JSRedir-GS, в день



Одна из уязвимостей, которую используют злоумышленники, — CVE-2011-4899. Запросами к скриптам атакующий настраивает CMS WordPress так, чтобы она удалённо подключалась к его СУБД (это касается СМS версии 3.3.1 или более ранней). Как результат — злоумышленник может войти в административную панель CMS под своим логином и паролем.

Решение проблемы CVE-2011-4899:
  1. обновляйте CMS;
  2. после установки CMS в обязательном порядке удаляйте с веб-сервера её конфигурационные скрипты;
  3. обязательно изменяйте пароли, которые СУБД использует по умолчанию, используйте сложные пароли;
  4. используйте Web Application Firewall, например http://www.modsecurity.org/.

 

Серверный вредоносный код злоумышленники всегда дописывают в конец файлов functions.php, которые используются в темах CMS WordPress.

 

 

Рис.3. Пример серверного вредоносного кода Troj/JSRedir-GS

 

Особенность Troj/JSRedir-GS в том, что клиентский вредоносный код выдаётся в веб-браузер, только если пользователь не авторизован в CMS и время на заражённом сервере на момент выполнения скрипта успешно делится на два. Эти два условия – первая ступень защиты вредоносного кода от обнаружения и удаления вебмастером. Потому что обычно вебмастер авторизован в CMS, а выполняющийся с перерывами скрипт обнаружить сложнее.

 

Вредоносный код, отображаемый на страницах заражённой CMS, обфусцирован (рисунок 4) и для анализа нуждается в деобфускации (рисунок 5).

 

 

Рис.4. Браузерный вредоносный код Troj/JSRedir-GS в обфусцированном виде

 

 

Рис.5. Браузерный вредоносный код Troj/JSRedir-GS после деобфускации

 

Эта проверка представляет собой вторую ступень защиты вредоносного кода от анализа: злоумышленники рассчитывают, что вебмастер или вирусный аналитик будет заходить на сайт напрямую, а не через поисковую систему.

 

Если подстрока найдена, пользователь перенаправляется на страницу h**p://googosearch.biz/search.php?ty=1&terms=<keyword>, где <keyword> — это ключевое слово, полученное в результате перехода на заражённый сайт с поисковой выдачи.

Ссылки с googosearch.biz, скорее всего, ведут на сайты, предлагающие установить программное обеспечение. Цели для перенаправления выбираются в зависимости от ключевых слов, по которым пришёл пользователь.

 

Чтобы не допустить заражения, нужно обновить CMS WordPress до версии выше 3.3.1 и воспользоваться рекомендациями по обеспечению безопасности сайта.



Команда Безопасного Поиска Яндекса

3 комментария
Подписаться на комментарии к посту

Это конфетки всё. Я предупреждал как только атака начиналась и были единичные случаи. У меня нюх на такие вещи.Пока атаки идут и как перекроют это дело. Опять начнут переписывать эксплоиты и опять будут сайты ломать.

А в поиске вирусных сайтов только увеличилось)

znakomstva-v-borovichah
2 мая 2012, 10:51

Хорошо что я наткнулся на эту статью. Обновил блог

Серьёзная проблемка. У меня многие блоги висят на старых версиях WP/ Теперь выходит их обновлять нужно в обязательном порядке. Хорошо если вирус прикрутят, хоть узнаешь об этом, а так в тёмную будут рулить на блоге потихонечку в параллели...