Mer än 100 000 webbplatser som körs på content management system Wordpress har nyligen smittats av en mystisk malware. När smittade platserna blir plattformar för attacker, loading skadliga koder i webbsidor som matas in av tittarna.
Säkerhet forskare bekräftar att detta malware kampanj har gjort Google mark mer än 11 000 domäner som varande skadlig. Denna kampanj hette SoakSoak, efter den första domänen som var nedsatt. Enligt Sucuri företag som hjälper webbplatsoperatörer säkra sina servrar men, Det finns många andra platser har setts som stjäls. De säkerhetsexperter från Sucuri har funnit att infektionen orsakades av en sårbarhet för en skadlig attack vektor kallas RevSlider. Detta är en Wordpress plugin som har visats genom flera underjordiska forum i början av september. Experter säger att denna sårbarhet kallas lokal fil Inclusion attack, vilket gör det möjligt för angripare att komma åt och ladda ner en lokal fil på servern. Sådana sårbarheter måste redas ut omedelbart.
Sucuri företag har observerat en attack som orsakar smittade webbplatser för att ladda en mycket förvrängd attack kod på varje webbsida och att koden innehåller följande komponent:
→(“%28%0D%0A%66%75%6E%63%74%69%6F%6E%28%29%0D%0A%7B%0D%..72%69%70%74%2E%69%64%3D%27%78%78%79%79%7A%7A%5F%70%65%74%75%73%68%6F%6B%27%3B%0D%0A%09%68%65%61%64%2E%61%70%70%65%6E%64%43%68%69%6C%64%28%73%63%72%69%70%74%29%3B%0D%0A%7D%28%29%0D%0A%29%3B”));
Denna speciella kod som gör sidorna hämta skadlig nyttolast från hxxp: //soaksoak.ru/xteas/code. Baserat på kommentarerna från användarna, Administratörerna på några av de webbplatser blev förvånade över att förstå att de webbplatser de övervakar är smittade. Processen för desinficering av dessa webbplatser kräver avlägsnande av den skadlig kod som läggs till ett skript som är belägen vid den wp-includes / mall-loader.php. Detta gör det en JavaScript-fil som kan laddas in varje sida på webbplatsen. När avkodas det kan ladda malware.
Alla administratörer av Wordpress-plattformen som råkar använda plugin Slider revolutionen måste se till att den uppdateras. Ändå, malware forskare tycker att det är svårt att få alla webbplatser tillämpar fix på ett universellt sätt. Detta är så plugin RevSlider är en premie plugin, inte något som lätt kan uppgraderas och därmed denna plugin blir farligt för ägaren av webbplatsen. Det blir ännu allvarligare eftersom en del av de webbplatsägare inte vet att de faktiskt har denna plugin i sin omgivning, eftersom det kommer i ett paket med sina teman.
Den malware kampanj SoakSoak fungerar med hjälp av olika bakdörr nyttolaster, injiceras i texter eller bilder. De kan användas för att installera nya administratörsanvändare och därmed möjliggöra kontroll över hemsidan under en längre tid.
De säkerhetsspecialister från Sucuri företag uppgav vidare att de har hittat säkerhetsfrågor i andra Wordpress plugins som WPtouch (5,670,626 Nedladdningar), Disqus (1,400,003 Nedladdningar), All In One SEO Pack (19,152,355 Nedladdningar), och MailPoet Nyhetsbrev (1,894,474 Nedladdningar).
Specialisterna säkerhets noterar också att rengöringen av de infekterade webbplatser är inte lätt. De konstaterar att det finns särskilda rekommendationer på nätet som råd användarna att ersätta swfobject.js och mall loader.php filer för att ta bort infektionen. Denna verksamhet är dock ingen garanti, eftersom det kommer att ta bort infektionen, men kommer inte att stänga bakdörrar och startpunkter som används i första hand och därmed webbplatsen kan smittas igen. De skadliga attacker behöver inte bara för att rengöras utan också att stoppas. Detta kan göras genom en webbplats brandvägg, vilket kan minska eventuella attacker från skadlig kod.
Experterna säkerhets uppmuntrar användarna att uppdatera till den senaste versionen och sedan kontrollera och rengör admin användarlistan från sin databas för att förhindra att andra infektioner.