Botnet May-akda Crash WordPress Site Sa Buggy Code

Ang mga Webmaster na nakakakita ng nakakainis na mensahe ng error sa kanilang mga site ay maaaring nahuli ng isang malaking break, salamat sa isang slip-up ng mga may-akda ng Gumblar botnet.

Libu-libong mga Web site, marami sa kanila ang maliliit na site na tumatakbo ang WordPress blogging software, ay nasira, na bumabalik sa isang "nakamamatay na error" na mensahe sa kamakailang mga linggo. Ayon sa mga eksperto sa seguridad, ang mga mensaheng ito ay aktwal na nalikha sa pamamagitan ng ilang malupit na kodigo ng malupit na code na sinaksak sa kanila ng mga may-akda ng Gumblar.

Gumblar ay gumawa ng mga headline noong Mayo kapag ito ay lumitaw sa libu-libong mga lehitimong Web site, na nagpapaskil ng tinatawag na "drive-by download" code atake ng mga nahawaang bisita sa iba't ibang mga online na atake. Ang botnet ay tahimik sa panahon ng Hulyo at Agosto, ngunit kamakailan ay nagsimulang muling magkakalat ng mga computer.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Tila, gayunman, ang ilang kamakailang mga pagbabagong ginawa sa Web code ng Gumblar ang problema, ayon sa independenteng tagapagpananaliksik ng seguridad na Denis Sinegubko.

Sinegubko ay natutunan ang isyu tungkol sa limang araw na nakalipas nang siya ay nilapitan ng isa sa mga gumagamit ng kanyang Unmask Parasites Web-site checker. Matapos sinisiyasat, natuklasan ni Sinegubko na sisisihan si Gumblar. Ang mga may-akda ni Gumblar ay tila gumawa ng ilang mga pagbabago sa kanilang Web code nang hindi ginagawa ang wastong pagsusuri, at bilang isang resulta "ang kasalukuyang bersyon ng Gumbar ay epektibong pumipigil sa mga blog na WordPress," sumulat siya sa isang blog post na naglalarawan ng isyu. makakaapekto lamang sa mga gumagamit ng WordPress, sinabi ni Sinegubko. "Ang anumang PHP site na may kumplikadong arkitektong file ay maaaring maapektuhan," sinabi niya sa pamamagitan ng instant message.

WordPress site na nag-crash dahil sa code ng buggy ay nagpapakita ng sumusunod na mensahe ng error: Nakamamatay na error: Hindi ma-redeclare xfm () (dati nang ipinahayag sa /path/to/site/index.php(1): eval () 'd code: 1)

sa /path/to/site/wp-config.php(1): eval ()' d code on line 1

Iba pang mga site na tumatakbo sa software tulad ng Joomla ay may iba't ibang mga nakamamatay na mensahe ng error, sinabi ni Sinegubko. "Ito ay isang karaniwang error sa PHP," sabi niya. "Ngunit ang paraan ng Gumblar na injects malisyosong mga script na ito ay laging nagpapakita ng mga string tulad ng: eval () 'd code sa linya 1"

Ang bug ay maaaring mukhang tulad ng isang pag-abala sa mga webmaster, ngunit ito ay talagang isang boon. Sa epekto, ang mga mensahe ay nagbababala sa mga biktima ni Gumblar na sila ay nakompromiso.

Security vendor FireEye ay nagsabi na ang bilang ng mga hacked site ay maaaring nasa daan-daang libo. "Dahil sa katunayan na ang mga ito ay maraming surot, maaari mo na ngayong gawin ang paghahanap sa Google na ito at makakahanap ka ng daan-daang libong mga site na batay sa php na nakompromiso sa kanila," sabi ni Phillip Lin, direktor ng marketing sa FireEye. "Nagkaroon ng pagkakamali na ginawa ng mga cybercriminal."

Hindi lahat ng mga site na nahawaan ng Gumblar ay magpapakita ng mensaheng ito, gayunpaman, tinukoy ni Lin.

Gumblar ang nag-iinstall ng code ng buggy nito sa mga Web site sa pamamagitan ng unang pagtakbo sa desktop at pagnanakaw ng FTP (File Transfer Protocol) impormasyon sa pag-login mula sa mga biktima nito at pagkatapos ay gamitin ang mga kredensyal na maglagay ng malware sa site. Ang mga Webmaster na nag-alinlangan na ang kanilang mga site ay nahawaan ay maaaring sundin ang mga tagubilin sa pag-detect at pag-alis na nai-post sa blog ni Sinegubko. Ang pagpapalit lamang ng mga kredensyal ng FTP ay hindi maaayos ang problema, dahil ang mga may-akda ng Gumblar ay kadalasang naka-install ng isang paraan ng pag-access sa likod ng pinto.