Бесплатно Экспресс-аудит сайта:

25.07.2014

Эксперты нашли причину масштабного инфицирования сайтов на платформе WordPress

Экспертам из ИБ-компании Sucuri удалось узнать причину  заражения  вредоносным ПО большого количества сайтов, работающих на платформе WordPress. Ею оказалась уязвимость в плагине MailPoet,  обнаруженная  в начале июля. Напомним, что брешь позволяет злоумышленникам внедрять на сайт вредоносное ПО, осуществлять дефейс, рассылать спам и т. д.

Вредоносный код, инфицировавший множество сайтов, перезаписывает легитимные файлы и добавляет строки в конец файла. После 72-часового исследования эксперты  подтвердили , что он загружается на сайты, использующие уязвимый плагин MailPoet. Исследователи отмечают, что брешь является точкой входа. То есть, опасности подвергаются не только сайты, использующие уязвимый плагин, но также соседние с ними ресурсы.

Атака всегда начинается одинаково – с попытки хакера загрузить на сайт кастомизированную вредоносную тему:

194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"

После успешной загрузки в /wp-content/uploads/wysija/themes/mailp/ внедряется бэкдор:

194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"

194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"

Таким образом хакеру удается получить полный контроль над ресурсом. Бэкдор создает учетную запись администратора 1001001, а также внедряет вредоносный код во все файлы ядра/тем. Кроме того, он перезаписывает легитимные файлы, которые потом очень сложно восстановить.