Ismerős a történet? Van egy biztonsági hiba, amivel automatizálva lehet kompromittálni weboldalakat. A kiberbűnözők ezekre a weblapokra vezetik a gyanútlan a felhasználótaki onnan egy majd később felhasználható vírussal távozik. A Sucuri biztonsági cég egy ilyen támadássorozatra figyelt fel – írja a Biztonságportál.
Az áldozat jelen esetben több mint 100 ezer WordPress-alapú weboldal, melyek – illetve a mögöttük lévő tárhelyek – fölött a kiberbűnözők tulajdonképpen teljes mértékben átvették az irányítást.
A bűnös egy olyan hiba, amit már februárban javítottak
A támadók a Slider Revolution nevű plugin egyik sebezhetőségét fordították használták ki. Egy olyan biztonsági rést, amit a fejlesztők már februárban befoltoztak! Tehát most is az derült ki, hogy a frissítések telepítésével sokan nem foglalkoznak.
A támadások több fázisban zajlottak. Először az elkövetők az említett sérülékenységen keresztül megszerezték a wp-config.php ájlokat, amikből kinyerhették az értékes konfigurációs adatokat. Utána feltöltöttek egy kártékony kódot – szintén a Slider Revolution pluginen keresztül – a védtelenné vált tárhelyekre. A kód a hackerek körében közismert Filesman trójait tartalmazta, amely hátsó kapu kiépítéséhez használható, és teljes körű hozzáférést biztosít a támadók számára.
A java azonban csak ezután jött: egy újabb károkozási fázisban ugyanis a támadók megfertőzték az swfobject.js fájlokat, amivel a kompromittált weblapok látogatóit átirányították a soaksoak.ru domainre. (A részletesebb technikai infókat a Biztonságportálon találja.) A Sucuri a támadássorozat elemzésekor további nemkívánatos kódokat is talált, például olyat, amit képfájlokba illesztve terjesztettek.
A veszély elhárításhoz nem elég eltávolítani a Filesmanhoz tartozó fájlokat. A kutatók ugyanis azt tapasztalták, hogy a manipulált weboldalak utána rövid időn belül visszafertőződtek. Sokkal célravezetőbb, ha az érintett oldal üzemeltetője frissít a Slider Revolution plugin legalább a 4.2-es verziójára, majd módosítja a wp-config.php fájlban a hozzáférési adatokat, és törli a nemkívánatos állományokat a tárhelyről.
Adathelyreállítás pillanatok alatt
A vírus- és végpontvédelmet hatékonyan kiegészítő Zerto, a Hewlett Packard Enterprise Company platformfüggetlen, könnyen használható adatmentési és katasztrófaelhárítási megoldása.
a melléklet támogatója az EURO ONE Számítástechnikai Zrt.
CIO KUTATÁS
TECHNOLÓGIÁK ÉS/VAGY KOMPETENCIÁK?
Az Ön véleményére is számítunk a Corvinus Egyetem Adatelemzés és Informatika Intézetével közös kutatásunkban »
Kérjük, segítse munkánkat egy 10-15 perces kérdőív megválaszolásával!
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak