Vírusírtó Blog

Időzített bombaként működhetnek a feltört Wordpress oldalak

2012.02.01. 13:16 G Data

Egy bejuttatott, rejtett kód lehetővé teszi, hogy a hackerek egy későbbi időpontban indítsanak támadást. 

 

A G Data által felfedezett, Wordpress oldalakba bejuttatott kód komoly veszélyforrás lehet, amivel a támadók ezeket a honlapokat távolról irányítható „zombi” weboldalakká tették.

 
A most felfedezett esetekben a kód az
 
<SCRIPT id=”googleblogcontainer”>
 
amelyet a honlap forráskódjának vége felé helyeznek el, bár láttunk már olyan megoldást is, ahol több helyre is bemásolták, úgy, hogy az egyes előfordulások között több száz sornyi kód maradt. A kód igen alaposan összezavart (obfuszkált) JavaScriptből áll, ami deobfuszkálás után így néz ki:
 Megjegyzés: a googlebogcounter hiányzó „l” betűje valószínűleg csak egy elütés, amit a támadó vétett.
 
A kódban szereplő IP cím (91.xxx.xxx.xxx) jelenleg nem elérhető, így a counter.php fájlt sem érhető még el. A különféle kártevőkkel foglalkozó fórumokon talált bejegyzések szerint korábban egy olyan counter.php szkript volt itt elérhető, ami úgy változtatta meg az eredetileg erre a 91.xxx.xxx.xxx címre mutató src attribútumot, hogy az a valós, ártalmatlan és népszerű jquery erőforrásra mutasson. Ezen kívül a PHP szkript a DOM-ból is eltávolította a weboldalba bejuttatott kódot, mindezek eredményeképpen tehát a felhasználó gépén vizsgálva az oldal forráskódját már nem tudnánk a gyanús részek nyomára bukkanni. Ugyanakkor a weboldal HTML kódjába beágyazott részek továbbra is megmaradnak, veszélyeztetve a többi látogatót.
 
A támadóknak nincs más dolguk, mint módosítani a counter.php fájlt, és olyan parancsokat elhelyezni benne, amivel a látogató számítógépét arra utasítják, hogy kártevőket töltsön le és telepítsen, látogasson el más káros oldalakra, és így tovább.
 
A WHOIS segítségével nyert adatok alapján a counter.php-t tárol szerver Oroszországban volt. Ugyanez az IP cím egyébként már felbukkant 2011 elején az úgynevezett TimThumb támadás során. A TimThumb egy, a Wordpresshez tartozó plugin, amelynek egy nulladik napos hibáját használta ki ez a módszer.
 
A G Data biztonsági megoldásai a fenti szkriptet mint JS:Downloader-AZF[Trj] detektálják.
 
Mit tehetnek a Wordpress-felhasználók?
 
Jelen pillanatban nem lehet tudni, hogy a kód bejuttatása egy Wordpress plugin biztonsági résének, a Wordpress CMS hibájának vagy egyszerűen egy automata által végrehajtott támadássorozat során feltört jelszavaknak köszönhető. Tanácsként elmondható, hogy amennyiben Wordpress-felhasználók vagyunk, akkor:
 
  • Frissítsünk a CMS legújabb verziójára
  • Frissítsük valamennyi használt plugint és távolítsuk el azokat, amiket nem használunk
  • Változtassuk meg a belépési jelszavunkat
  • Amennyiben észleljük a fenti kód jelenlétét, töröljük az oldalról és frissítsünk mindent az előbbiek szerint.
Tetszett a bejegyzés? Lájkolj minket a Facebookon!

Címkék: wordpress

Írj kommentet

A bejegyzés trackback címe:

https://virusirto.blog.hu/api/trackback/id/tr584071951

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.

Értesülj az új átverésekről a Facebookon!

Címkék

adatbiztonság (1) adathalászat (10) adatvédelem (35) Adobe (1) alkalmazás (13) amazon (1) android (36) android market (1) anonymus (1) apple (8) arcfelismerés (2) arcfelismerési technológia (1) átverés (41) Audi (1) bank (1) BankGuard (1) bankkártya (4) biometrikus azonosító (1) bitcoin (1) biztonság (20) blizzard (1) botnet (1) bouncer (1) celeb (1) cenzúra (1) chat (1) Chrome (1) cnn (1) csalás (8) csoport (1) cyberbullying (1) ddos (1) dnt (1) domén (1) e-book (1) e-mail (1) email (4) emoji (1) engedély (1) esemény (1) EU (1) europol (3) facebook (129) Facebook (10) Facebook hangulatjelek (1) fbi (3) felhő (1) felmérés (17) féreg (2) fiók (1) Flame (1) foci (1) frissítés (1) gdata (1) geotagging (2) Gmail (1) google (9) gps (1) gyermek (2) G Data (33) G data (3) g data (6) G Data BankGuard (1) G Data jelszómenedzser (1) G Data TotalProtection (1) hack (2) hacker (36) híresség (1) hoax (1) Hotmail (1) hozzáférés (2) hummer (1) idővonal (2) információbiztonság (2) instagram (4) intel (1) internet (4) internetbiz (1) internetbiztonság (62) iOS (2) ios (1) ipari kémkedés (1) jelszó (2) Jelszókezelő (1) jogok (3) kártevő (47) katasztrófa (1) kémkedés (1) kémprogram (1) keresés (1) kéretlen program (1) kiberbűnözés (2) kiberháború (3) kínai közösségi média (1) komment (1) közösségi média (1) közösségi portál (1) lájk (1) like (4) linux (1) Linux (1) mac (1) macintosh (1) maya (1) média (1) megosztás (6) metaadat (1) Microsoft (2) mobiltelefon (5) napló (1) Nigéria (3) okosóra (1) okostelefon (2) olimpia (1) online (3) Online bankolás (1) online bankolás (1) Ötven Cent Csoport (1) password (1) phising (1) Pokémon Go (1) Popcorn TIme (1) poszt (1) ransomware (13) rendőrség (2) rootkit (1) sérülékenység (9) Skype (1) skype (2) smart tv (5) spam (10) személyi (3) születésnap (1) szülői felügyelet (1) tartalomszűrés (1) tartózkodási hely (1) ThyssenKrupp (1) törlés (1) torrent (3) trójai (19) twitter (1) update (1) usb (5) vásárlás (1) védelem (2) végítélet (1) videó (1) vírus (2) vírusirtó (12) virusirtó (1) VirusTotal (1) visszaélés (1) Vista (1) vízjel (1) vodafone (1) warcraft (1) Weibo (1) whatsapp (1) wifi (3) windows (1) Windows (2) wordpress (1) World of Warcraft (1) WoW (1) Yahoo (1) Yahoo! (1) zaklatás (1) Zeus (1) zsaroló kártevő (5) Címkefelhő