«Четыре бэкдора мне в панель»: как один JavaScript-файл захватил тысячи веб-сайтов

Эксперты компании c/side выявили изощрённую атаку на WordPress-сайты, в ходе которой злоумышленники использовали один сторонний JavaScript-файл для заражения более тысячи сайтов. Вредоносный код загружался с «cdn.csyndication[.]com» и внедрял сразу четыре бэкдора, создавая несколько точек входа, чтобы сохранить доступ даже в случае обнаружения и удаления одного из них.

Первый бэкдор загружал на сайт вредоносный WordPress-плагин. Чтобы обойти защиту, код получал специальные токены безопасности (CSRF) и устанавливал плагин скрытно. После этого он искал на сервере WordPress- и Laravel-установки для возможного расширения атаки.

Второй бэкдор вносил изменения в «wp-config.php», добавляя туда вредоносный JavaScript. Это позволяло злоумышленникам запускать на сайте скрытые скрипты, которые могли вмешиваться в его работу и заражать посетителей.

Третий бэкдор затрагивал систему SSH. Он добавлял в файл «~/.ssh/authorized_keys» ключи злоумышленников, предоставляя им постоянный удалённый доступ к серверу даже после смены паролей.

Четвёртый бэкдор позволял выполнять удалённые команды и загружать дополнительные вредоносные файлы с «gsocket[.]io», создавая обратную оболочку для полного контроля над системой.

Вредоносный плагин «ultra-seo-processor», загружаемый первым бэкдором, скрывался в панели управления WordPress. Он маскировал своё присутствие, изменял системные файлы, сканировал сервер на наличие других CMS и обеспечивал долгосрочную компрометацию.

Несмотря на сложность атаки, антивирусные системы практически её не выявляют. По данным VirusTotal, зловред обнаружен лишь единичными решениями, что делает атаку особенно опасной.

Чтобы защититься, рекомендуется проверить свои ресурсы на наличие плагина «ultra-seo-processor», проверить «wp-config.php» и «index.php» на вредоносные вставки, а также удалить подозрительные SSH-ключи. Важно сменить пароли всех администраторов WordPress и следить за системными логами для выявления подозрительных действий.

Использование стороннего JavaScript как вектора атаки не ново, но внедрение сразу четырёх бэкдоров для сохранения доступа встречается редко. С учётом популярности внешних JS-библиотек такие атаки могут повторяться всё чаще.