Botnet Authors Crash WordPress Sites With Code Buggy

Webmasters yang mendapati mesej ralat menjengkelkan di laman web mereka mungkin telah mendapat rehat yang besar, terima kasih kerana tergelincir oleh pengarang Gumblar botnet.

Puluhan ribu laman web, banyak daripada mereka laman-laman kecil yang berlari perisian blogging WordPress, telah dipecahkan, kembali mesej "ralat maut" dalam beberapa minggu kebelakangan ini. Menurut para pakar keselamatan, mesej-mesej tersebut sebenarnya dihasilkan oleh beberapa kod jahat berbahaya yang diculik oleh pengarang Gumblar.

Gumblar menjadi berita utama pada bulan Mei apabila muncul di ribuan laman web yang sah, memposting apa yang dikenali sebagai kod "drive-by download" yang menyerang pengunjung yang dijangkiti dengan pelbagai serangan dalam talian. Botnet telah tenang pada bulan Julai dan Ogos, tetapi baru-baru ini telah mula menginfeksi komputer.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari Windows PC Anda]

Namun, beberapa perubahan baru-baru ini dibuat kepada kod Web Gumblar masalah itu, menurut peneliti keamanan independen Denis Sinegubko.

Sinegubko mengetahui tentang masalah itu sekitar lima hari yang lalu ketika ia didatangi oleh salah seorang pengguna pemeriksa situs web Unmask Parasites nya. Selepas menyiasat, Sinegubko mendapati bahawa Gumblar disalahkan. Penulis Gumblar nampaknya membuat beberapa perubahan pada kod Web mereka tanpa melakukan ujian yang tepat, dan sebagai akibatnya "versi terkini Gumbar secara efektif memecah blog WordPress," tulisnya dalam catatan blog yang menerangkan masalah itu.

Bug tidak hanya memberi kesan kepada pengguna WordPress, kata Sinegubko. "Mana-mana tapak PHP dengan seni bina fail kompleks boleh dipengaruhi," katanya menerusi mesej segera.

Laman-laman WordPress yang terhempas kerana kod buggy memaparkan mesej ralat berikut: Kesalahan yang fatal: Tidak dapat redeclare xfm () /path/to/site/index.php(1): eval () 'd code: 1)

dalam /path/to/site/wp-config.php(1): eval ()' d code on baris 1

Lain-lain laman web yang menjalankan perisian seperti Joomla mendapatkan mesej kesilapan yang berbeza-beza, kata Sinegubko. "Ia satu ralat PHP biasa," katanya. "Tetapi cara Gumblar menyuntikkan skrip jahat menjadikannya selalu memaparkan rentetan seperti: eval () 'd kod pada baris 1"

Bug mungkin kelihatan seperti gangguan kepada webmaster, tetapi itu sebenarnya rahmat. Sebenarnya, mesej itu memberi amaran kepada mangsa-mangsa Gumblar bahawa mereka telah dikompromi.

Penjual keselamatan FireEye mengatakan bahawa jumlah tapak yang digodam boleh beratus-ratus ribu. "Kerana fakta bahawa mereka kereta, kini anda boleh melakukan carian Google ini dan anda boleh mencari beratus-ratus ribu laman web berasaskan php yang telah dikompromikan," kata Phillip Lin, pengarah pemasaran dengan FireEye. "Terdapat kesilapan yang dibuat oleh penjenayah siber."

Tidak semua tapak yang dijangkiti Gumblar akan memaparkan mesej ini, namun, Lin dicatat.

Gumblar memasang kod buggynya di laman web dengan terlebih dahulu berjalan di desktop dan mencuri FTP (Protokol Pemindahan Fail) maklumat log masuk dari mangsa dan kemudian menggunakan kelayakan tersebut untuk meletakkan malware di laman web ini. Webmaster yang mengesyaki bahawa laman web mereka telah dijangkiti boleh mengikuti arahan pengesanan dan penyingkiran yang dipaparkan di blog Sinegubko. Hanya menukar kelayakan FTP tidak akan membetulkan masalah ini, kerana pengarang Gumblar biasanya memasang kaedah pintu belakang mengakses laman web