24 июля 2014
Эксперты нашли причину масштабного инфицирования сайтов на платформе WordPress
Хакеры инфицируют ресурсы, эксплуатируя обнаруженную ранее уязвимость в плагине MailPoet.
Экспертам из ИБ-компании Sucuri удалось узнать причину
заражения вредоносным ПО большого количества сайтов, работающих на платформе WordPress. Ею оказалась уязвимость в плагине MailPoet, обнаруженная в начале июля. Напомним, что брешь позволяет злоумышленникам внедрять на сайт вредоносное ПО, осуществлять дефейс, рассылать спам и т. д.
Вредоносный код, инфицировавший множество сайтов, перезаписывает легитимные файлы и добавляет строки в конец файла. После 72-часового исследования эксперты
подтвердили, что он загружается на сайты, использующие уязвимый плагин MailPoet. Исследователи отмечают, что брешь является точкой входа. То есть, опасности подвергаются не только сайты, использующие уязвимый плагин, но также соседние с ними ресурсы.
Атака всегда начинается одинаково – с попытки хакера загрузить на сайт кастомизированную вредоносную тему:
194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"
После успешной загрузки в /wp-content/uploads/wysija/themes/mailp/ внедряется бэкдор:
194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"
Таким образом хакеру удается получить полный контроль над ресурсом. Бэкдор создает учетную запись администратора 1001001, а также внедряет вредоносный код во все файлы ядра/тем. Кроме того, он перезаписывает легитимные файлы, которые потом очень сложно восстановить.