Сотни блогов WordPress были взломаны за последние несколько дней
злоумышленниками, которые воспользовались тем, что данные авторизации блоггеров
хранились в базе данных в незашифрованном виде.
Сообщившие об атаках исследователи заявили, что причиной новой волны
нападений стала структурная уязвимость платформы WordPress, поскольку по
умолчанию она разрешает пользователям устанавливать такие параметры, которые
позволяют читать файлы конфигурации блогов wp-config.php любому посетителю.
Кроме того, WordPress хранит данные авторизации блоггеров в открытом виде.
Нападавшие вставляли в блоги вредоносные фреймы iFrame, после чего посетители
в автоматическом режиме инфицировались вредоносными программами, в том числе –
фальшивыми антивирусами.
"На прошлой неделе несколько людей пожаловались на взлом и обратились к нам
за помощью", - написал в своем блоге основатель фирмы Sucuri Security Давид
Деде. "Мы все исправили, однако один из сайтов сразу же после этого был взломан
вновь. Просматривая логи, мы не нашли следов доступа извне, сделав вывод, что
атака проводилась не из Сети".
По словам Деде, дальнейший анализ показал, что всему виной – вредоносные
iFrame, и что хостингом всех блогов занималась компания Network Solutions.
Большинство блогов работало на последней версии платформы WordPress за номером
2.9.2. По всей видимости, нападавший написал сканер для обнаружения всех файлов
конфигурации, содержащих некорректные настройки, после чего извлек из них пароли
для доступа к базе данных и начал взламывать всех подряд.
Стоит отметить, что в Network Solutions уже почистили зараженные блоги и
сменили пароли к базе данных, однако этот хостинг-провайдер все равно
рекомендует пользователям изменить пароли администраторов и избавиться от
неизвестных аккаунтов с административными правами.
Пользователи, желающие проверить свои блоги на наличие инфекции, должны
поискать лишний HTML-код в заголовке и проверить источник всех iFrame. В случае
заражения все они будут указывать на http://mainnetsoll.com/grep или http://networkads.net/grep.
Кроме того, можно попробовать установить плагин WordPress Exploit Scanner. При
обнаружении проблем необходимо связаться со своей хостинговой компанией и
перейти на использование WordPress 2.9.2.