/ Новости сайта / Вредоносный код в файле запуска ionCube на Wordpress
19Ноя

Вредоносный код в файле запуска ionCube на Wordpress

206

Администраторам блогов на WordPress и Joomla стоит быть предельно внимательными. Специалисты в области безопасности рассказали о новом вредоносном ПО, маскирующемся как файлы ionCube (набор элементов для командной строки, позволяющие производить обфускацию, кодирование, и лицензирование программного кода, написанного на языке программирования php). Вредоносная программа, называемая ionCube Malware, применяется киберпреступниками для создания сайтов на уязвимых веб-платформах, что позволяет им воровать персональные данные или устанавливать другое ПО нарушающее работу.

С того, момента, как исследователи заявили о наличие вируса, прошло две недели и вредоносное ПО было обнаружено более чем 800 ресурсах для бизнеса, работающих на платформах CMS Joomla, WordPress и CodeIgniter. Согласно SiteLock, обнаружившим проблему, он является уникальным в своем роде, поскольку видоизменяется таким образом, что может маскироваться под правильный файл системы.

Ведущий аналитик, Уэстон Генри (Weston Henry), сообщил, что Malware похож на PHP-кодированные, которое нацелено на PHP-функции и скрывает себя внутри плагинов CMS. Eval - это функция, способная выполнять произвольный PHP-код и часто используемый хакерами для создания веб-сайтов.

«Эта конкретная тактика, которую мы никогда раньше не видели. Мы видели массу образцов вредоносных программ, которые пытались выглядеть как конкретные элементы Joomla или WordPress. Но ionCube является правильным инструментом кодирования и шифрования », - сказал Генри. «Поэтому, когда плохие парни обфускают (запутывают) ПО внутри, это сводится к созданию доступа к веб-сайту с помощью eval backdoor».

Так же неясно, как порядка 800 сайтов заразились, хотя он подозревает, что связано все с использованием устаревших плагинов CMS или программного обеспечения платформы. «Это особенно сложно определить, особенно для тех, кто уже использует службы ionCube», - сказал Генри.

Идентифицированные образцы были названы «diff98.php» и «wrgcduzk.php» и найдены в основных каталогах CMS. При дальнейшем проверке код вредоносного иона-куба содержит некие отличия, которые заметить крайне сложно, такие, например, как фиктивная строка «il_exec», а не законная строка «_il_exec».

«По нашим данным, есть ссылка на доменное имя ioncube.com в той или иной форме в каждом правильном файле, но он отсутствует в поддельных. Также обратите внимание, что поддельный файл имеет блок кода после тегов закрытия PHP, как и законный ionCube. Но в отличие от реального этот блок кода состоит только из буквенно-цифровых символов и новых строк», - говорится в следующем блоге SiteLock, в котором излагаются его исследования.

Администраторам сайтов, помимо более тщательно изучения файлов директории, стоит обновить все плагины и программное обеспечение CMS.


Статья для Вас была полезной? Расскажите о ней в социальных сетях:




Комментарии 0

avatar
Наверх