Botnet Yazarları WordCress Siteleri Buggy Koduyla Kilitlendi

Sitelerinde rahatsız edici bir hata mesajı bulan web yöneticileri, Gumblar botnet'in yazarları tarafından kayma nedeniyle büyük bir ara vermiş olabilir.

Birçoğu küçük siteler çalışan on binlerce Web sitesi WordPress bloglama yazılımı, son haftalarda "ölümcül hata" mesajı döndürerek kırıldı. Güvenlik uzmanlarına göre bu mesajlar, Gumblar'ın yazarlarının kendilerine gizlediği bazı buggy kötü niyetli kodlar tarafından üretiliyor.

Gumblar, binlerce meşru Web sitesinde göründüğü Mayıs ayında, "drive-by download" kodu olarak bilinen yayınları yayınladı. Bu, çeşitli çevrimiçi saldırılarla enfekte ziyaretçilere saldırır. Botnet, Temmuz ve Ağustos aylarında sessiz kalmıştı, ancak yakın zamanda bilgisayarlara tekrar bulaşmaya başladı.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Görünüşe göre, Gumblar'ın Web kodunda bazı yeni değişiklikler yapıldı. Bağımsız güvenlik araştırmacısı Denis Sinegubko'ya göre sorun.

Sinegubko, beş gün önce kendisinin Unmask Parazitleri Web sitesi denetçisinin kullanıcılarından biri tarafından ele alındığında konuyu ele aldı. Araştırdıktan sonra Sinegubko, Gumblar'ın suçlandığını keşfetti. Gumblar'ın yazarları, doğru testleri yapmadan Web kodlarında bazı değişiklikler yaptılar ve sonuç olarak "Gumbar'ın şu anki versiyonu WordPress bloglarını etkin bir şekilde kırıyor," diye açıklayan bir blog yazısı yazdı.

Sinegubko, WordPress kullanıcılarını etkilediğini söyledi. "Karmaşık dosya mimarisi ile herhangi bir PHP sitesi etkilenebilir," dedi anlık ileti ile.

Buggy kodu nedeniyle çöktü WordPress siteleri aşağıdaki hata iletisini görüntüler: Önemli hata: xfm () (daha önce bildirilen) /path/to/site/index.php(1): eval () 'd code: 1)

içinde /path/to/site/wp-config.php(1): eval ()' d kodu satır 1

Joomla gibi yazılım çalıştıran diğer siteler farklı ölümcül hata iletileri alıyorlar, Sinegubko dedi. “Standart bir PHP hatası” dedi. “Ama Gumblar'ın kötü niyetli betikleri enjekte etmesinin yolu her zaman dizeleri göstermesini sağlar: eval () 'satır 1'de kod'

Hata, web yöneticilerine bir can sıkıntısı gibi gelebilir, ama aslında bir nimet. Aslında, mesajlar Gumblar'ın kurbanlarını tehlikeye attıkları konusunda uyarıyor.

Güvenlik şirketi FireEye, saldırıya uğramış sitelerin sayısının yüzbinlerce olabileceğini söyledi. FireEye ile pazarlama direktörü Phillip Lin, "Bugunlar, bu Google aramasini yapabildiginiz için, yüzlerce binlerce php tabanli alani ele geçirdiler," diyor. "Siber suçlular tarafından yapılan bir hata vardı."

Gumblar bulaşmış olan sitelerin bu mesajı göstermeyeceğini de belirtti. Ancak, Lin şöyle dedi:

Gumblar, masaüstünde koşarak ve FTP çalarak buggy kodunu Web sitelerine yükler. (Dosya Aktarım Protokolü) kurbanlarından giriş bilgilerini girin ve daha sonra bu kötü amaçlı bilgileri sitede kötü amaçlı yazılımlar yerleştirmek için kullanın. Sitelerinin virüs bulaştığından şüphelenen web yöneticileri, Sinegubko'nun blogunda yayınlanan algılama ve kaldırma talimatlarını takip edebilir. Gumblar'ın yazarları genellikle sitelere erişim için bir arka kapı yöntemi yüklediklerinden, sadece FTP kimlik bilgilerini değiştirmek sorunu çözmeyecektir.