21 Августа, 2017

Редирект в WordPress на c2.trysomethingnew.eu

revisium
В настоящее время пользователи WordPress, использующие старую версию темы Newspaper, пытаются справиться последствиями атаки месячной давности, в результате которой в мета-данные темы внедрялся javascript код, выполняющий перенаправление посетителей на рекламные и вредоносные сайты. Учитывая то, что тему только официально купило более 46000 человек, то возможных пострадавших может быть достаточно много (особенно, учитывая любовь наших веб-мастеров к халяве и загрузки данной темы еще и из неофициальных источников). Заражение сайта заметить достаточно легко: при переходе из поисковой системы на сайт возникает перенаправление посетителя на сторонний ресурс. Пример цепочки перенаправлений:




Как выглядит вредоносный запрос

Вредоносная кампания еще не прекратилась. В логах клиентов мы наблюдали повторы атак в течение всего августа (4го, 6го, 17го). Всегда интересно посмотреть, как выглядит запрос “изнутри”, так как выполняется он методом POST и кроме строки POST /wp-admin/admin-ajax.php в обычном логе никакой информации найти не удастся. Приводим лог нашей системы мониторинга:



Причина редиректа на c2.trysomethingnew.eu


Причиной редиректа является фрагмент кода, внедренный в мета-данные темы:



В момент открытия страницы данный javascript инжектирует еще один javascript фрагмент, который, в свою очередь, проверяет источник перехода посетителя, его браузер и выполняет соответствующее перенаправление на рекламный или вредоносный адрес.
Неприятной особенностью заражения является то, что удалять его необходимо не из файлов, а из базы данных или через админ-панель. Обращаем внимание на то, что удаление инъекции из базы данных может привести к неработоспособности темы WordPress, поскольку в мета-данных сохранен сериализованный массив и необходимо сохранить размер поля td_option, чтобы десериализация была выполнена корректно. Проще всего это сделать через стандартный интерфейс администратора WordPress в NewsPaper -> Custom Code -> Custom Javascript


Для интересующихся - можем порекомендовать обзор данного заражение от WordFence.com
Проверить свой сайт на наличие подобного редиректа можно с помощью нашего бесплатного сервиса ReScan.Pro .
Все клиенты, находящиеся у нас под защитой, могут не беспокоиться, так как наш WAF блокирует подобные инъекции.
comments powered by Disqus