Хакеры инфицируют ресурсы, эксплуатируя обнаруженную ранее уязвимость в плагине MailPoet.
Экспертам из ИБ-компании Sucuri удалось узнать причину заражения вредоносным ПО большого количества сайтов, работающих на платформе WordPress. Ею оказалась уязвимость в плагине MailPoet, обнаруженная в начале июля. Напомним, что брешь позволяет злоумышленникам внедрять на сайт вредоносное ПО, осуществлять дефейс, рассылать спам и т. д.
Вредоносный код, инфицировавший множество сайтов, перезаписывает легитимные файлы и добавляет строки в конец файла. После 72-часового исследования эксперты подтвердили , что он загружается на сайты, использующие уязвимый плагин MailPoet. Исследователи отмечают, что брешь является точкой входа. То есть, опасности подвергаются не только сайты, использующие уязвимый плагин, но также соседние с ними ресурсы.
Атака всегда начинается одинаково – с попытки хакера загрузить на сайт кастомизированную вредоносную тему:
194.79.195.139 - - [05/Jul/2014:01:41:30 -0700] "POST /wp-admin/admin-post.php?page=wysija_campaigns&action=themes HTTP/1.0" 302 - "http://site.com.com/wp-admin/admin.php?page=wysija_campaigns&id=1&action=editTemplate" "Mozilla/5.0"
После успешной загрузки в /wp-content/uploads/wysija/themes/mailp/ внедряется бэкдор:
194.79.195.139 - - [05/Jul/2014:01:41:31 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php HTTP/1.1" 200 12 "Mozilla/5.0"
194.79.195.139 - - [05/Jul/2014:04:08:16 -0700] "GET /wp-content/uploads/wysija/themes/mailp/index.php?cookie=1 HTTP/1.0" 200 12 "-" "Mozilla/5.0 (Windows)"
Таким образом хакеру удается получить полный контроль над ресурсом. Бэкдор создает учетную запись администратора 1001001, а также внедряет вредоносный код во все файлы ядра/тем. Кроме того, он перезаписывает легитимные файлы, которые потом очень сложно восстановить.
Эксперты нашли причину масштабного инфицирования сайтов на платформе WordPress
Хакеры инфицируют ресурсы, эксплуатируя обнаруженную ранее уязвимость в плагине MailPoet.Хакеры инфицируют ресурсы, эксплуатируя обнаруженную ранее уязвимость в плагине MailPoet. ЭкспертамТакже по теме: