Не первый раз уже встречаю информацию о том, что WordPress – наиболее подверженная взлому CMS, вот сейчас происходит ещё одна массированная атака на веб-сайты.
Будем опираться на первоисточник.
Ориентировочная дата начала вредоносной кампании: 3 сентября 2015 года, но только за последние несколько дней имеем значительный рост атакованных сайтов:
Атака заключается во внедрении JS-кода во все JavaScript-файлы на сайте-жертве:
function visitorTracker_isMob( ){
var ua = window.navigator.userAgent.toLowerCase();
if(/(android|bb\d+|meego).+mobile|avantgo|bada\/|blackberry|blazer|compal|elaine|fennec|hiptop|iemobile|ip(hone|od)|iris|kindle|lge |maemo|mi..|v400|v750|veri|vi(rg|te)|vk(40|5[0-3]|\-v)|vm40|voda|vulc .. |vx(52|53|60|61|70|80|81|83|85|98)|w3c(\-| )|webc|whit|wi(g |nc|nw)|wmlb|wonu|x700|yas\-|your|zeto|zte\-/i.test(ua.substr(0,4))) {
return true;
return false;
} /* .. visitorTracker .. */ /*
По этому коду, кстати, и можно понять, подвергались ли ваши сайты атаке:
# cd /var/www
# grep -rn 'visitorTracker_isMob'
Отлаживая вредоносный скрипт, специалисты заметили, что происходят обращения к другим серверам с кхм, весьма говорящим названием (подсвечено красным), что как бы намекает на географическую принадлежность вредоносописателей:
Пользователи, переходящие на заражённые сервера, перенаправляются на страницу, заражённую специальным Exploit-китом Nuclear, весьма популярным в определённых кругах. Там эксплуатируется другая популярная уязвимость в Flash-плеере.
Как средство защиты от подобных напастей всегда рекомендуется обновляться до последней версии WordPress, включая все установленные плагины.
Comments: