Botnet Autoren Crash WordPress Seiten mit Buggy Code

Webmaster, die auf ihren Websites eine nervige Fehlermeldung finden, haben möglicherweise eine große Pause gemacht, dank eines Ausfalls der Autoren des Gumblar-Botnets.

Zehntausende Websites, von denen viele kleine Websites betreiben die WordPress-Blogging-Software, wurde gebrochen und gab in den letzten Wochen eine "fataler Fehler" -Meldung zurück. Laut Sicherheitsexperten werden diese Nachrichten tatsächlich von bösartigem bösartigen Code generiert, der von Gumblars Autoren eingeschmuggelt wurde.

Gumblar machte im Mai Schlagzeilen, als er auf Tausenden von legitimen Websites erschien und einen so genannten "Drive-by-Download" -Code veröffentlichte Das greift infizierte Besucher mit einer Vielzahl von Online-Angriffen an. Das Botnet war im Juli und August ruhig gewesen, hat aber kürzlich damit begonnen, Computer neu zu infizieren.

[Weiterführende Literatur: So entfernen Sie Malware von Ihrem Windows-PC]

Offenbar wurden jedoch einige Änderungen am Gumblar-Webcode vorgenommen Das Problem, so der unabhängige Sicherheitsforscher Denis Sinegubko.

Vor etwa fünf Tagen erfuhr Sinegubko von dem Problem, als er von einem der Benutzer seines Website-Checkers Unmask Parasites angesprochen wurde. Nach der Untersuchung entdeckte Sinegubko, dass Gumblar schuld war. Gumblars Autoren haben anscheinend einige Änderungen an ihrem Web-Code vorgenommen, ohne die richtigen Tests durchzuführen, und als Ergebnis "bricht die aktuelle Version von Lumbar effektiv WordPress-Blogs", schrieb er in einem Blog-Beitrag, der das Problem beschreibt.

Der Bug nicht betrifft nur WordPress-Benutzer, sagte Sinegubko. "Jede PHP-Site mit komplexer Dateiarchitektur kann betroffen sein", sagte er per Instant Message.

WordPress-Sites, die wegen des Buggy-Codes abgestürzt sind, zeigen folgende Fehlermeldung an: Schwerwiegender Fehler: Kann xfm () nicht deklarieren (zuvor deklariert in /path/to/site/index.php(1): eval () 'd code: 1)

in /path/to/site/wp-config.php(1): eval ()' d code on Zeile 1

Andere Sites, auf denen Software wie Joomla läuft, erhalten verschiedene schwerwiegende Fehlermeldungen, sagte Sinegubko. "Es ist ein Standard-PHP-Fehler", sagte er. "Aber die Art und Weise, wie Gumblar bösartige Skripte einschleust, zeigt immer Zeichenfolgen wie: eval () 'd code in Zeile 1"

Der Bug mag den Webmastern lästig vorkommen, aber es ist tatsächlich ein Segen. In der Tat warnen die Nachrichten die Opfer von Gumblar, dass sie kompromittiert wurden.

Der Sicherheitsanbieter FireEye sagte, dass die Anzahl der gehackten Websites in den Hunderttausenden liegen könnte. "Aufgrund der Tatsache, dass sie fehlerhaft sind, können Sie jetzt diese Google-Suche durchführen und Sie können Hunderttausende von php-basierten Websites finden, die sie kompromittiert haben", sagte Phillip Lin, Director of Marketing bei FireEye. "Es gab einen Fehler der Cyberkriminellen."

Nicht alle Gumblar-infizierten Seiten zeigen diese Meldung an, wie Lin bemerkt.

Gumblar installiert seinen Buggy-Code auf Webseiten, indem er zuerst auf dem Desktop läuft und FTP stiehlt (File Transfer Protocol) Anmeldeinformationen von seinen Opfern und dann diese Anmeldeinformationen verwenden, um Malware auf der Website zu platzieren. Webmaster, die den Verdacht haben, dass ihre Seiten infiziert sind, können den Aufklärungs- und Entfernungsanweisungen auf Sinegubkos Blog folgen. Durch einfaches Ändern der FTP-Anmeldeinformationen wird das Problem nicht behoben, da Gumblars Autoren in der Regel eine Methode für den Zugriff auf Websites von hinten installieren.