Botnet Forfattere Crash WordPress-nettsteder med Buggy Code

Webmastere som finner en irriterende feilmelding på nettstedene deres, kan ha tatt en stor pause, takket være en slip-up av forfatterne av Gumblar botnet.

Tusenvis av nettsteder, mange av dem små nettsteder som kjører WordPress blogging programvare, har blitt brutt, og returnerte en "fatale feil" melding i de siste ukene. Ifølge sikkerhetseksperter blir disse meldingene faktisk generert av noen buggy ondsinnet kode slått på dem av Gumblar forfattere.

Gumblar skrev overskrifter i mai da det dukket opp på tusenvis av legitime nettsider, og sendte ut det som kalles "kjøre nedover" -kode som angriper infiserte besøkende med en rekke onlineangrep. Botnetet hadde vært stille i juli og august, men nylig har det begynt å infisere datamaskiner igjen.

[Ytterligere lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Tilsynelatende har det imidlertid vist seg noen siste endringer i Gumblar webkode Problemet, ifølge uavhengige sikkerhetsforsker Denis Sinegubko.

Sinegubko lærte om spørsmålet om fem dager siden da han ble kontaktet av en av brukerne av hans Unmask Parasites Web site checker. Etter å ha undersøkt oppdaget Sinegubko at Gumblar var skylden. Gumblars forfattere har tilsynelatende gjort noen endringer i deres webkode uten å gjøre riktig testing, og som følge av dette, "den nåværende versjonen av Gumbar bryter effektivt WordPress-blogger," skrev han i et blogginnlegg som beskriver problemet.

Feilen gjør ikke Bare påvirke WordPress-brukere, sa Sinegubko. "Eventuelt PHP-område med komplisert filarkitektur kan bli påvirket," sa han via direktemeldinger.

WordPress-nettsteder som har krasjet på grunn av buggy-koden, viser følgende feilmelding: Fatal error: Kan ikke omdefinere xfm () (tidligere erklært i /path/to/site/index.php(1): eval () 'd kode: 1)

i /path/to/site/wp-config.php(1): eval ()' d kode på linje 1

Andre nettsteder som kjører programvare som Joomla får forskjellige dødelige feilmeldinger, sa Sinegubko. "Det er en standard PHP-feil," sa han. "Men måten Gumblar injiserer ondsinnede skript, gjør det alltid å vise strenge som: eval () 'd-kode på linje 1'

Feilen kan virke som en irritasjon for webansvarlige, men det er faktisk en velsignelse. I virkeligheten advarsler meldingene Gumblar's ofre at de har blitt kompromittert.

Sikkerhetsleverandør FireEye sa at antall hackede nettsteder kunne være i hundretusenvis. «På grunn av det faktum at de er buggy, kan du nå gjøre dette Google-søket, og du kan finne hundrevis av tusenvis av php-baserte nettsteder som de har kompromittert,» sa Phillip Lin, markedsdirektør med FireEye. "Det ble en feil gjort av de cyberkriminelle."

Ikke alle Gumblar-infiserte nettsteder vil vise denne meldingen, men Lin noterte.

Gumblar installerer sin buggy-kode på nettsider ved først å kjøre på skrivebordet og stjele FTP (File Transfer Protocol) innloggingsinformasjon fra sine ofre og deretter bruke disse legitimasjonene for å plassere skadelig programvare på nettstedet. Webmastere som mistenker at deres nettsteder har blitt infisert, kan følge oppdagelses- og fjerningsinstruksjonene som er lagt ut på Sinegubkos blogg. Bare å endre FTP-legitimasjon vil ikke løse problemet, da Gumblar forfattere vanligvis installerer en bakdør-metode for å få tilgang til nettsteder.