Авторы Botnet Crash Страницы WordPress с кодом Buggy

Вебмастерам, которые находят раздражающее сообщение об ошибке на своих сайтах, возможно, столкнулись с большим перерывом благодаря сбоям авторами ботнета Gumblar.

Десятки тысяч веб-сайтов, многие из которых работают на небольших сайтах WordPress для блогов, были сломаны, что привело к появлению сообщения о «фатальной ошибке» в последние недели. По словам экспертов по безопасности, эти сообщения на самом деле генерируются каким-то багги-вредоносным кодом, прокравшимся на них авторами Gumblar.

Gumblar сделал заголовки в мае, когда он появился на тысячах легитимных веб-сайтов, разместив так называемый код «на диске» который атакует зараженных посетителей различными онлайн-атаками. Ботнет был тихим в течение июля и августа, но в последнее время снова начал заражать компьютеры.

[Подробнее: Как удалить вредоносное ПО с вашего ПК с Windows]

По-видимому, некоторые недавние изменения, внесенные в веб-код Gumblar, вызвали проблема, по мнению независимого исследователя безопасности Дениса Синегубко.

Синегубко узнал о проблеме около пяти дней назад, когда к нему подошел один из пользователей его веб-сайта, посвященного веб-сайту Unmask Parasites. После расследования Синегубко обнаружил, что виноват Гумблар. Авторы Gumblar, по-видимому, внесли некоторые изменения в свой веб-код, не проведя надлежащего тестирования, и в результате «текущая версия Gumbar эффективно разрушает блоги WordPress», - писал он в сообщении в блоге, описывающем проблему.

Ошибка не просто влияют на пользователей WordPress, сказал Синегубко. «Любой сайт PHP со сложной файловой архитектурой может быть затронут», - сказал он через мгновенное сообщение.

На сайтах WordPress, которые потерпели крах из-за неисправного кода, отобразилось следующее сообщение об ошибке: Неустранимая ошибка: невозможно обновить xfm () (ранее объявленный в /path/to/site/index.php(1): eval () 'd code: 1)

в /path/to/site/wp-config.php(1): eval ()' d code on line 1

Другие сайты, на которых работает программное обеспечение, например Joomla, получают разные сообщения о фатальной ошибке, сказал Синегубко. «Это стандартная ошибка PHP», - сказал он. «Но способ, которым Gumblar вводит вредоносные скрипты, всегда отображает строки, такие как: eval () 'd code on line 1»

Ошибка может показаться раздражающей для веб-мастеров, но на самом деле это благо. По сути, сообщения предупреждают жертв Gumblar, что они были скомпрометированы.

Поставщик безопасности FireEye сказал, что количество взломанных сайтов может быть в сотнях тысяч. «Из-за того, что они ошибочны, вы теперь можете выполнять этот поиск Google, и вы можете найти сотни тысяч сайтов на основе php, которые они скомпрометировали», - сказал Филипп Линь, директор по маркетингу FireEye. «Ошибка была совершена киберпреступниками».

Не все зараженные Gumblar сайты покажут это сообщение, однако Лин отметил.

Gumblar устанавливает свой багги-код на веб-сайтах, сначала запуская на рабочем столе и краду FTP (Протокол передачи файлов) от своих жертв, а затем использовать эти учетные данные для размещения вредоносных программ на сайте. Веб-мастера, которые подозревают, что их сайты были заражены, могут следовать инструкциям по обнаружению и удалению, размещенным в блоге Синегубко. Простое изменение учетных данных FTP не устранит проблему, поскольку авторы Gumblar обычно устанавливают обратный метод доступа к сайтам.