Botnet Authors เว็บไซต์ Crash WordPress ด้วย Buggy Code

ผู้ดูแลเว็บที่พบข้อความแสดงข้อผิดพลาดที่น่ารำคาญในไซต์ของตนอาจสะดุดได้เนื่องจากผู้เขียน Gumblar botnet ล่ม

นับหมื่นของเว็บไซต์ซึ่งส่วนมากใช้งานเว็บไซต์ขนาดเล็ก ซอฟต์แวร์บล็อก WordPress ได้รับการหักกลับ "ข้อผิดพลาดร้ายแรง" ข้อความในสัปดาห์ที่ผ่านมา ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยได้สร้างข้อความที่เป็นอันตรายเหล่านี้โดยผู้เขียนของ Gumblar

Gumblar ได้สร้างข่าวขึ้นเมื่อเดือนพฤษภาคมเมื่อปรากฏในเว็บไซต์ที่ถูกต้องตามกฎหมายหลายพันรายการโพสต์สิ่งที่เรียกว่า "drive-by download" code ที่โจมตีผู้เข้าชมที่ติดเชื้อโดยมีการโจมตีออนไลน์มากมาย botnet เงียบในช่วงเดือนกรกฎาคมและสิงหาคม แต่เมื่อเร็ว ๆ นี้คอมพิวเตอร์ของคุณเริ่มติดไวรัสอีกครั้ง

[อ่านเพิ่มเติม: วิธีลบมัลแวร์จากคอมพิวเตอร์ที่ใช้ Windows ของคุณ]

เห็นได้ชัดว่ามีการเปลี่ยนแปลงล่าสุดของ Gumblar's Web code ปัญหาตามที่นักวิจัยด้านความปลอดภัยอิสระ Denis Sinegubko กล่าว Sinegubko ได้เรียนรู้เกี่ยวกับปัญหานี้เมื่อห้าวันก่อนเมื่อเขาได้รับการติดต่อจากผู้ใช้ Unmask Parasites Web-site Checker คนใดคนหนึ่งของเขา หลังจากการสืบสวน Sinegubko พบว่า Gumblar คือโทษ ผู้เขียนของ Gumblar เห็นได้ชัดว่ามีการเปลี่ยนแปลงรหัสเว็บของตนโดยไม่ทำการทดสอบที่ถูกต้องและเป็นผลให้ "รุ่นปัจจุบันของ Gumbar สามารถแบ่งบล็อก WordPress ได้อย่างมีประสิทธิภาพ" เขาเขียนในโพสต์บล็อกที่อธิบายถึงปัญหานี้

ข้อบกพร่องไม่ได้ เพียงส่งผลกระทบต่อผู้ใช้ WordPress เท่านั้น Sinegubko กล่าว "ไซต์ PHP ใด ๆ ที่มีสถาปัตยกรรมไฟล์ที่ซับซ้อนอาจได้รับผลกระทบ" เขากล่าวผ่านข้อความโต้ตอบแบบทันที

เว็บไซต์ WordPress ที่มีปัญหาเนื่องจากรหัสข้อผิดพลาดแสดงข้อความแสดงข้อผิดพลาดต่อไปนี้: ข้อผิดพลาดร้ายแรง: ไม่สามารถ redeclare xfm () (ประกาศก่อนหน้านี้ใน /path/to/site/index.php(1): eval () 'd code: 1)

ใน /path/to/site/wp-config.php(1): eval ()' d code on บรรทัดที่ 1

เว็บไซต์อื่นที่ใช้งานซอฟต์แวร์เช่น Joomla ได้รับข้อความแสดงข้อผิดพลาดร้ายแรงต่างกัน Sinegubko กล่าว "นี่เป็นข้อผิดพลาดของ PHP มาตรฐาน" เขากล่าว "แต่วิธีที่ Gumblar ทำการฉีดสคริปต์ที่เป็นอันตรายทำให้มันแสดงสตริงเสมอเช่น: eval () 'd code on line 1"

ข้อผิดพลาดอาจดูเหมือนเป็นเรื่องน่ารำคาญกับเว็บมาสเตอร์ แต่เป็นเรื่องที่เป็นประโยชน์ ข้อความเตือนผู้ที่ตกเป็นเหยื่อของ Gumblar ว่าถูกบุกรุก

ผู้ให้บริการความปลอดภัย FireEye กล่าวว่าจำนวนไซต์ที่ถูกแฮกอาจอยู่ในหลายร้อยหลายพันคน "เนื่องจากความจริงที่ว่าพวกเขากำลังรถคุณสามารถทำการค้นหาของ Google นี้ได้แล้วและคุณสามารถค้นหาไซต์ที่ใช้ PHP ได้นับแสน ๆ แห่งที่พวกเขาบุกรุก" Phillip Lin ผู้อำนวยการฝ่ายการตลาดของ FireEye กล่าว "มีผิดพลาดเกิดขึ้นจากอาชญากรไซเบอร์"

เว็บไซต์ที่ติดเชื้อ Gumblar บางแห่งจะไม่แสดงข้อความนี้ แต่ Lin กล่าวไว้

Gumblar ติดตั้งรหัสรถบนเว็บไซต์โดยใช้งานครั้งแรกบนเดสก์ท็อปและขโมย FTP (File Transfer Protocol) ข้อมูลการเข้าสู่ระบบจากผู้ที่ตกเป็นเหยื่อและจากนั้นใช้ข้อมูลประจำตัวเหล่านั้นเพื่อวางมัลแวร์ในไซต์ ผู้ดูแลเว็บที่สงสัยว่าไซต์ของตนได้รับการติดเชื้อสามารถทำตามคำแนะนำในการตรวจหาและกำจัดที่โพสต์ไว้ในบล็อกของ Sinegubko การเปลี่ยนข้อมูลประจำตัวของ FTP จะไม่สามารถแก้ไขปัญหาได้เนื่องจากผู้เขียนของ Gumblar มักติดตั้งวิธีเข้าถึงประตูด้านหลังประตู