В минувшие выходные был зафиксирован массовый взлом сотен блогов WordPress,
размещенных на серверах нескольких хостинговых компаний. Впервые замаскированный
в footer.php вредоносный JavaScript был обнаружен на блогах, размещенных у
провайдера Dreamhost.
По данным фирмы Sucuri Security Labs, в дальнейшем эта же уязвимость
распространилась на блоги, обслуживаемые такими хостинговыми компаниями, как
GoDaddy, Bluehost, Media Temple и рядом других.
По словам эксперта этой фирмы Давида Деде, встроенный в footer.php код
загружает дополнительные скрипты с сайтов zettapetta.com и
indesignstudioinfo.com. На момент написания новости скрипты на этих сайтах все
еще работали, перенаправляя пользователей на веб-страницы с результатами
фальшивого онлайн-сканирования на вирусы. Распространяемый через эти страницы
поддельный антивирус FAKEAV по состоянию на сегодняшний день обнаруживается 24
антивирусами из сорока одного пакета, имеющегося в коллекции VirusTotal.
Согласно информации WPSecurityLock, данной уязвимости подвержена также
платформа Zencart и другие системы управления, основанные на PHP. Исследователи
этой компании
опубликовали подробные инструкции по удалению заразы, а специалисты Sucuri
Security Labs
предоставили специальный скрипт, позволяющий убрать ее с инфицированных
страниц.
