Mehr als 100 000 Websites, die auf dem Content Management System von Wordpress betrieben wurden kürzlich von einer geheimnisvollen Malware infiziert. Einmal infiziert die Standorte zu Plattformen für Angriffe, Laden bösartigen Codes in die Webseiten, die von den Zuschauern eingetragen sind.
Sicherheitsexperten bestätigen, dass diese Malware-Kampagne hat Google Marke mehr als gemacht 11 000 Domains als böswillige. Diese Kampagne wurde zum SoakSoak, nach der ersten Domäne, beeinträchtigt wurde. Nach Sucuri Unternehmen, das Website-Betreiber zu sichern ihre Server jedoch hilft, es gibt viele andere Websites haben als kompromittiert gesichtet. Die Sicherheitsexperten von Sucuri haben herausgefunden, dass die Infektion durch eine Schwachstelle zu einem Malware-Angriff Vektor als RevSlider bekannt verursacht. Dies ist ein Wordpress-Plugin, das wurde durch mehrere Untergrundforen in Anfang September bekannt wurde. Experten sagen, dass diese Sicherheitsanfälligkeit als Local File Inclusion Angriffe bekannt, die der Angreifer auf dem Server zugreifen und downloaden Sie eine lokale Datei erlaubt. Solche Schwachstellen müssen sofort aussortiert werden.
Sucuri Unternehmen hat einen Angriff, der infizierten Websites verursacht eine viel verschleierten Angriff Code auf jeder Webseite zu laden und zu beobachten, dass Code enthält die folgende Komponente:
→(“%28%0D function () { % .. 72ipt.id = 'xxyyzz_petushok'; head.appendChild (script); } () );”));
Diese besondere Code macht die Seiten Download Schadcode aus hxxp: //soaksoak.ru/xteas/code. Auf der Grundlage der Kommentare der Nutzer, die Administratoren von einigen der Websites waren überrascht, zu verstehen, dass die Websites, die sie überwachen infiziert sind. Der Prozess der Desinfektion dieser Websites erfordert die Entfernung des bösartigen Code, der zu einem Skript, das am befindet aufgenommen wird wp-includes / template-Loader.php. Dies macht es eine JavaScript-Datei, die auf der Website in jede Seite geladen werden konnte. Sobald decodiert es Malware laden.
Alle Administratoren der Wordpress-Plattform, die das Plugin-Slider benutzen Revolution geschehen müssen sicherstellen, dass sie aktualisiert wird. Auch so, die Malware-Forscher finden es schwierig, zu bekommen alle Webseiten Wenden Sie das Update in einer universellen Weise. Das ist so, wie das Plugin RevSlider ist ein Premium-Plugin, nicht etwas, das leicht aufgerüstet werden können und wird damit für die Eigentümer der Website gefährliche dieses Plugin. Es wird noch gravierender, da einige der Website-Besitzer wissen nicht, sie tatsächlich in ihrer Umgebung haben dieses Plugin, wie es in einem Paket mit ihren Themen kommt.
Die Malware-Kampagne SoakSoak mit Hilfe von verschiedenen Hintertür Nutzlasten funktioniert, in Texte oder Bilder injiziert. Sie können verwendet werden, um neue Administrator-Benutzer für eine längere Zeit zu installieren und somit die Kontrolle über die Webseite zu ermöglichen.
Die Sicherheitsspezialisten von Sucuri Unternehmen erklärte weiter, dass sie Sicherheitsprobleme in anderen Wordpress-Plugins wie WPtouch gefunden (5,670,626 Downloads), Disqus (1,400,003 Downloads), All In One SEO Pack- (19,152,355 Downloads), und MailPoet Newsletter (1,894,474 Downloads).
Die Sicherheitsspezialisten beachten Sie, dass die Reinigung der infizierten Websites ist nicht einfach. Sie stellen fest, dass es spezifische Empfehlungen Online-Beratung, dass die Benutzer, die swfobject.js und Template-Loader.php Dateien, um die Infektion zu entfernen ersetzen. Diese Aktivität ist jedoch keine Garantie dafür,, da sie die Infektion zu entfernen, aber nicht herunter die Hintertüren und die Einstiegspunkte in erster Linie verwendet, und somit kann die Webseite wieder infiziert werden. Die bösartige Angriffe müssen nicht nur gereinigt werden, sondern auch angehalten werden. Dies könnte durch eine Website Firewall durchgeführt werden, was die möglichen Angriffe der Malware reduzieren.
Die Sicherheitsexperten ermutigen die Anwender auf die neueste verfügbare Version zu aktualisieren und dann prüfen und reinigen Sie den Admin-Benutzer-Liste aus ihrer Datenbank zu anderen Infektionen zu verhindern.