Időzített bombaként működhetnek a feltört WordPress oldalak

Kategóriák
Címkék

Egy bejuttatott, rejtett kód lehetővé teszi, hogy a hackerek egy későbbi időpontban indítsanak támadást. 

A G Data által felfedezett, WordPress oldalakba bejuttatott kód komoly veszélyforrás lehet, amivel a támadók ezeket a honlapokat távolról irányítható „zombi” weboldalakká tették.

A most felfedezett esetekben a kód az

<SCRIPT id=”googleblogcontainer”>

amelyet a honlap forráskódjának vége felé helyeznek el, bár láttunk már olyan megoldást is, ahol több helyre is bemásolták, úgy, hogy az egyes előfordulások között több száz sornyi kód maradt. A kód igen alaposan összezavart (obfuszkált) JavaScriptből áll, ami deobfuszkálás után így néz ki:

Megjegyzés: a googlebogcounter hiányzó „l” betűje valószínűleg csak egy elütés, amit a támadó vétett.

A kódban szereplő IP cím (91.xxx.xxx.xxx) jelenleg nem elérhető, így a counter.php fájlt sem érhető még el. A különféle kártevőkkel foglalkozó fórumokon talált bejegyzések szerint korábban egy olyan counter.php szkript volt itt elérhető, ami úgy változtatta meg az eredetileg erre a 91.xxx.xxx.xxx címre mutató src attribútumot, hogy az a valós, ártalmatlan és népszerű jquery erőforrásra mutasson. Ezen kívül a PHP szkript a DOM-ból is eltávolította a weboldalba bejuttatott kódot, mindezek eredményeképpen tehát a felhasználó gépén vizsgálva az oldal forráskódját már nem tudnánk a gyanús részek nyomára bukkanni. Ugyanakkor a weboldal HTML kódjába beágyazott részek továbbra is megmaradnak, veszélyeztetve a többi látogatót.

A támadóknak nincs más dolguk, mint módosítani a counter.php fájlt, és olyan parancsokat elhelyezni benne, amivel a látogató számítógépét arra utasítják, hogy kártevőket töltsön le és telepítsen, látogasson el más káros oldalakra, és így tovább.

A WHOIS segítségével nyert adatok alapján a counter.php-t tárol szerver Oroszországban volt. Ugyanez az IP cím egyébként már felbukkant 2011 elején az úgynevezett TimThumb támadás során. A TimThumb egy, a WordPresshez tartozó plugin, amelynek egy nulladik napos hibáját használta ki ez a módszer.

A G Data biztonsági megoldásai a fenti szkriptet mint JS:Downloader-AZF[Trj] detektálják.

Mit tehetnek a WordPress-felhasználók?

Jelen pillanatban nem lehet tudni, hogy a kód bejuttatása egy WordPress plugin biztonsági résének, a WordPress CMS hibájának vagy egyszerűen egy automata által végrehajtott támadássorozat során feltört jelszavaknak köszönhető. Tanácsként elmondható, hogy amennyiben WordPress-felhasználók vagyunk, akkor:

  • Frissítsünk a CMS legújabb verziójára
  • Frissítsük valamennyi használt plugint és távolítsuk el azokat, amiket nem használunk
  • Változtassuk meg a belépési jelszavunkat
  • Amennyiben észleljük a fenti kód jelenlétét, töröljük az oldalról és frissítsünk mindent az előbbiek szerint.

További cikkek

2024. 03. 19.

MrBeast ingyen pénzt osztogat? Nem.

Tovább
2024. 02. 21.

Az MI barátnők adnak egy pofont az adatvédelemnek

Tovább
2024. 01. 29.

Az NSA elismerte, hogy titokban böngészési adatokat vásárolt

Tovább

Vélemény, hozzászólás?

Az e-mail címet nem tesszük közzé. A kötelező mezőket * karakterrel jelöltük

Időzített bombaként működhetnek a feltört WordPress oldalak
A weboldalon sütiket (cookie) használunk, melyek segítenek minket a lehető legjobb szolgáltatások nyújtásában. Weboldalunk további használatával elfogadja Adatkezelési tájékoztatónkat.