Időzített bombaként működhetnek a feltört WordPress oldalak

Egy bejuttatott, rejtett kód lehetővé teszi, hogy a hackerek egy későbbi időpontban indítsanak támadást. 

A G Data által felfedezett, WordPress oldalakba bejuttatott kód komoly veszélyforrás lehet, amivel a támadók ezeket a honlapokat távolról irányítható „zombi” weboldalakká tették.

A most felfedezett esetekben a kód az

<SCRIPT id=”googleblogcontainer”>

amelyet a honlap forráskódjának vége felé helyeznek el, bár láttunk már olyan megoldást is, ahol több helyre is bemásolták, úgy, hogy az egyes előfordulások között több száz sornyi kód maradt. A kód igen alaposan összezavart (obfuszkált) JavaScriptből áll, ami deobfuszkálás után így néz ki:

Megjegyzés: a googlebogcounter hiányzó „l” betűje valószínűleg csak egy elütés, amit a támadó vétett.

A kódban szereplő IP cím (91.xxx.xxx.xxx) jelenleg nem elérhető, így a counter.php fájlt sem érhető még el. A különféle kártevőkkel foglalkozó fórumokon talált bejegyzések szerint korábban egy olyan counter.php szkript volt itt elérhető, ami úgy változtatta meg az eredetileg erre a 91.xxx.xxx.xxx címre mutató src attribútumot, hogy az a valós, ártalmatlan és népszerű jquery erőforrásra mutasson. Ezen kívül a PHP szkript a DOM-ból is eltávolította a weboldalba bejuttatott kódot, mindezek eredményeképpen tehát a felhasználó gépén vizsgálva az oldal forráskódját már nem tudnánk a gyanús részek nyomára bukkanni. Ugyanakkor a weboldal HTML kódjába beágyazott részek továbbra is megmaradnak, veszélyeztetve a többi látogatót.

A támadóknak nincs más dolguk, mint módosítani a counter.php fájlt, és olyan parancsokat elhelyezni benne, amivel a látogató számítógépét arra utasítják, hogy kártevőket töltsön le és telepítsen, látogasson el más káros oldalakra, és így tovább.

A WHOIS segítségével nyert adatok alapján a counter.php-t tárol szerver Oroszországban volt. Ugyanez az IP cím egyébként már felbukkant 2011 elején az úgynevezett TimThumb támadás során. A TimThumb egy, a WordPresshez tartozó plugin, amelynek egy nulladik napos hibáját használta ki ez a módszer.

A G Data biztonsági megoldásai a fenti szkriptet mint JS:Downloader-AZF[Trj] detektálják.

Mit tehetnek a WordPress-felhasználók?

Jelen pillanatban nem lehet tudni, hogy a kód bejuttatása egy WordPress plugin biztonsági résének, a WordPress CMS hibájának vagy egyszerűen egy automata által végrehajtott támadássorozat során feltört jelszavaknak köszönhető. Tanácsként elmondható, hogy amennyiben WordPress-felhasználók vagyunk, akkor:

  • Frissítsünk a CMS legújabb verziójára
  • Frissítsük valamennyi használt plugint és távolítsuk el azokat, amiket nem használunk
  • Változtassuk meg a belépési jelszavunkat
  • Amennyiben észleljük a fenti kód jelenlétét, töröljük az oldalról és frissítsünk mindent az előbbiek szerint.

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük