בוטנט מחברים לקרוס וורדפרס אתרים עם קוד באגי

מנהלי אתרים אשר מוצאים הודעת שגיאה מעצבנת באתרים שלהם אולי תפסו הפסקה גדולה, הודות להחלקה על ידי מחברי הבוטניקה של Gumblar.

עשרות אלפי אתרי אינטרנט, רבים מהם אתרים קטנים הפועלים את תוכנת בלוגים WordPress, כבר שבור, חוזרים "שגיאה חמורה" הודעה בשבועות האחרונים. על פי מומחי אבטחה, מסרים אלה נוצרים למעשה על ידי כמה קוד זדוני שחולף על ידי מחברי גומבלאר.

גומבלר הגיע לכותרות במאי כאשר הופיע באלפי אתרי אינטרנט לגיטימיים, ופרסם את מה שמכונה קוד "הורדה על ידי הורדה" כי התקפות מבקרים נגועים עם מגוון של התקפות מקוונות. הבוטנט היה שקט במהלך החודשים יולי ואוגוסט, אך לאחרונה החל להדביק שוב מחשבים. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

ככל הנראה, עם זאת, שינויים אחרונים שבוצעו בקוד האינטרנט של Gumblar גרמו את הבעיה, על פי חוקר הביטחון העצמאי דניס Sinegubko.

Sinegubko נודע על הבעיה לפני כחמישה ימים, כאשר הוא ניגש על ידי אחד המשתמשים של בודק האינטרנט שלו טמבל בודק האינטרנט. לאחר חקירה, גילה Sinegubko כי Gumblar הוא אשם. המחברים של גומבלר עשו כנראה כמה שינויים בקוד האינטרנט שלהם בלי לעשות את הבדיקה הנכונה, וכתוצאה מכך "הגרסה הנוכחית של Gumbar ביעילות שובר בלוגים וורדפרס", הוא כתב בבלוג לכתוב המתאר את הבעיה.

הבאג לא פשוט להשפיע על משתמשי וורדפרס, אמר Sinegubko. "כל אתר PHP עם ארכיטקטורת קבצים מורכבת יכול להיות מושפע", הוא אמר באמצעות הודעה מיידית.

אתרים וורדפרס כי התרסק בגלל קוד באגי להציג את הודעת השגיאה הבאה: שגיאה חמורה: לא ניתן redeclare xfm () (שהוכרז בעבר / / path / site/index.php (1): eval () 'd קוד: 1)

ב /path/to/site/wp-config.php (1): קו 1

אתרים אחרים הפועלים בתוכנה כגון ג'ומלה מקבלים הודעות שגיאה חמורות שונות, אמר Sinegubko. "זוהי שגיאת PHP סטנדרטית", אמר. "אבל הדרך שבה גומבלר מזריק סקריפטים זדוניים עושה את זה תמיד להציג מחרוזות כמו: () קוד '' על קו 1"

באג עשוי להיראות כמו מטרד למנהלי אתרים, אבל זה באמת ברכה. למעשה, המסרים מזהירים את קורבנותיו של גומבלאר כי הם נפגעו.

איש האבטחה FireEye אמר כי מספר האתרים שנפרצו יכול להימצא במאות אלפים. "בגלל העובדה שהם באגי, עכשיו אתה יכול לעשות את זה החיפוש של Google ואתה יכול למצוא מאות אלפי אתרי PHP מבוססי שהם נפגעו", אמר פיליפ לין, מנהל השיווק עם FireEye. "יש טעות שנעשתה על ידי הפושעים באינטרנט".

לא כל האתרים נגועים Gumblar יציג הודעה זו, עם זאת, ציין לין.

Gumblar מתקין קוד buggy שלה באתרי אינטרנט על ידי הפעלת הראשונה על שולחן העבודה וגניבת FTP (File Transfer Protocol) פרטי התחברות מן הקורבנות שלה ולאחר מכן באמצעות אישורים אלה למקום תוכנות זדוניות באתר. מנהלי אתרים שחושדים שהאתרים שלהם נדבקו יכולים לעקוב אחר הוראות האיתור וההסרה שפורסמו בבלוג של Sinegubko. פשוט שינוי אישורי ה- FTP לא לתקן את הבעיה, כמו מחברים של Gumblar בדרך כלל להתקין שיטה דלת אחורית של גישה לאתרים.