Вход для зарегистрированных пользователей
логин
пароль
регистрация
забыли пароль?
Еще не зарегистрировались?

Дайджест

Контур-Фокус – быстрая проверка контрагентов

Инфостенд

Информационные и справочные материалы
Тел.: +7 (495) 231-4831
Сайт: expo-itsecurity.ru
E-mail: info@infosecurity.ru
Контактная информация: О компании
Регионы работы: Москва
Новость
Эксперты нашли причину масштабного инфицирования сайтов на платформе WordPress
24 июля 2014

Эксперты нашли причину масштабного инфицирования сайтов на платформе WordPress

Хакеры инфицируют ресурсы, эксплуатируя обнаруженную ранее уязвимость в плагине MailPoet.

Экспертам из ИБ-компании Sucuri удалось узнать причину заражения вредоносным ПО большого количества сайтов, работающих на платформе WordPress. Ею оказалась уязвимость в плагине MailPoet,  обнаруженная  в начале июля. Напомним, что брешь позволяет злоумышленникам внедрять на сайт вредоносное ПО, осуществлять дефейс, рассылать спам и т. д.

Вредоносный код, инфицировавший множество сайтов, перезаписывает легитимные файлы и добавляет строки в конец файла. После 72-часового исследования эксперты подтвердили, что он загружается на сайты, использующие уязвимый плагин MailPoet. Исследователи отмечают, что брешь является точкой входа. То есть, опасности подвергаются не только сайты, использующие уязвимый плагин, но также соседние с ними ресурсы. 

Атака всегда начинается одинаково – с попытки хакера загрузить на сайт кастомизированную вредоносную тему: 

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

После успешной загрузки в /wp-content/uploads/wysija/themes/mailp/ внедряется бэкдор:

194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"

194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Таким образом хакеру удается получить полный контроль над ресурсом. Бэкдор создает учетную запись администратора 1001001, а также внедряет вредоносный код во все файлы ядра/тем. Кроме того, он перезаписывает легитимные файлы, которые потом очень сложно восстановить.

Источник: SecurityLab

Поделись ссылочкой:


©   ООО «Инфосекьюрити»
Тел.: +7 (495) 231-4831   +7 (495) 778-4675Адрес:  Москва, Б.Семеновская, 49


PROFLINE - сайты на Битрикс