100 000 WordPress sites Beïnvloed door Mysterious Malware

100 000 WordPress sites Beïnvloed door Mysterious Malware

Meer dan 100 000 websites die draaien op het content management systeem van WordPress zijn onlangs besmet door een mysterieuze malware. Eenmaal besmet de sites geworden platforms voor aanslagen, het laden van kwaadaardige codes in de webpagina's die worden ingevoerd door de kijkers.

Beveiliging onderzoekers bevestigen dat deze malware campagne Google mark meer dan heeft gemaakt 11 000 domeinen als kwaadaardige. Deze campagne werd genoemd SoakSoak, na het eerste domein dat werd gecompromitteerd. Volgens Sucuri bedrijf dat helpt bij website-exploitanten te beveiligen hun servers echter, er zijn vele andere sites zijn gespot als gevaar wordt gebracht. De security experts van Sucuri hebben ontdekt dat de infectie werd veroorzaakt door een kwetsbaarheid voor een malware-aanval vector bekend als RevSlider. Dit is een WordPress plugin die is bekendgemaakt door middel van een aantal ondergrondse fora in het begin van september. Experts zeggen dat dit beveiligingslek is bekend als Local File Inclusion aanval, die het mogelijk maakt de aanvaller toegang tot en het downloaden van een lokaal bestand op de server. Dergelijke kwetsbaarheden moeten onmiddellijk worden opgelost.

Sucuri bedrijf heeft een aanval die geïnfecteerde websites veroorzaakt een veel obfuscated aanval code op elke webpagina laadt nageleefd en dat de code bestaat uit de volgende componenten:

→(“%28%0D function () { % .. 72ipt.id = 'xxyyzz_petushok'; head.appendChild (script); } () );”));

Deze bijzondere code maakt de pagina's downloaden kwaadaardige lading uit hxxp: //soaksoak.ru/xteas/code. Op basis van de opmerkingen van de gebruikers, de beheerder van een aantal van de websites waren verrast om te begrijpen dat de sites die ze volgen zijn besmet. Het proces van desinfectie van deze websites vereist het verwijderen van de kwaadaardige code die wordt toegevoegd aan een script dat is gelegen aan de wp-includes / template-loader.php. Dit maakt het een JavaScript-bestand dat in elke pagina op de site kan worden geladen. Eenmaal gedecodeerd kan malware laden.

Alle admins van de WordPress-platform die toevallig de plugin Slider Revolutie gebruiken moet ervoor zorgen dat het wordt bijgewerkt. Toch, de malware onderzoekers vinden het moeilijk om alle websites gelden de fix in een universele manier. Dit is zo omdat de plugin RevSlider is een premium plugin, niet iets dat gemakkelijk kan worden opgewaardeerd en dus deze plugin wordt gevaarlijk voor de eigenaar van de website. Het wordt nog erger als sommige van de website-eigenaren niet weten dat ze eigenlijk bezitten deze plugin in hun omgeving, zoals het komt in een pakket met hun thema's.

De malware campagne SoakSoak werkt met behulp van diverse backdoor laadvermogen, geïnjecteerd in teksten of afbeeldingen. Ze kunnen worden gebruikt om nieuwe beheerder gebruikers installeren en maken zo de controle over de website gedurende langere tijd.

De security specialisten van Sucuri onderneming verklaarde verder dat ze beveiligingsproblemen in andere WordPress plugins zoals WPtouch hebben gevonden (5,670,626 downloads), Disqus (1,400,003 downloads), All In One SEO Pack (19,152,355 downloads), en MailPoet Nieuwsbrieven (1,894,474 downloads).

De security specialisten er ook rekening mee dat de reiniging van de besmette sites is niet makkelijk. Zij merken op dat er specifieke aanbevelingen online, dat het advies van de gebruikers om de swfobject.js en template-loader.php bestanden te vervangen om de infectie te verwijderen. Deze activiteit is echter geen garantie, want het zal de infectie te verwijderen, maar zal niet sloot de achterdeuren en de toegangspunten gebruikt in de eerste plaats en dus de website kan opnieuw besmet worden. De kwaadwillige aanvallen hoeven niet alleen te worden schoongemaakt maar ook worden gestopt. Dit zou kunnen gebeuren door een website firewall, waarin de mogelijke aanvallen van de malware kan verminderen.

De security experts zijn het stimuleren van de gebruikers om te updaten naar de meest recente versie en vervolgens controleren en reinigen van de admin gebruiker lijst uit hun database naar andere infecties te voorkomen.