Атаки на WordPress продолжаются

Компания Sucuri зафиксировала продолжение атак на уязвимые сервера WordPress - о первой воле этих атак Anti-malware.ru уже писали. Текущая компания получила название WPcache-Blogger по названию сайта, на котором она была впервые зафиксирована. На этот раз общий охват заражённых вредоносными кодами серверов эксперты оценивают в 50 тыс. штук. Механизм заражения остаётся неизвестным

, но отмечается корреляция между вредоносными кодами и модулем для WordPress под названием Slider Revolution Responsive, в котором в сентябре этого года была обнаружена опасная уязвимость.

На этот раз компания заражения состояла из тех этапов. Каждый раз на взломанных сайтах в заголовках страницы появлялся код "eval ( base64_decode("ZnVuY...", который перенаправлял посетителя на вредоносный сайт. Вначале такой код перенаправлял в домен wpcache-blogger.com. По данным Google на этот сайт было переадресовано почти 12,4 тыс. пострадавших от атаки серверов WordPress. Затем вредоносы были перенесены в домен ads.akeemdom.com, где было зафиксировано ещё 6 тыс.заражений. А потом аналогичная активность была обнаружена по адресу 122.155.168.0, куда было переадресовано 9,7 тыс. заражённых веб-серверов. Впрочем, эксперты Sucuri называют цифру в 50 тыс. заражения - безопасный просмотр Google якобы обнаружил не все ссылки.

При этом вся атака была проведена в течении нескольких дней. Особенностью вредоносной вставки WPcache-Blogger является то, что если клиент перезагружал страницу, то вредоносный код перенаправлял его уже на Google.com. Таким образом, детектировать заражение оказалось не просто. При этом для избавления от вредоносной ссылки было не достаточно просто удалить вредоносный код из заголовка WordPress - часто сайты оказывались очень быстро заражены повторно. Нужно было закрыть уязвимость, через которую хакерам удавалось поставить вредоносный код на сайт - то есть обновить модуль Slider Revolution Responsive до версии 4.2, либо полностью его удалить из CMS. Впрочем, для защиты можно было также использовать и WAF, который блокирует попытки проведения PHP-инъекции.